DLP As Part Of Security Standards

Российские и
международные
стандарты в
контексте DLP-
решений

Алексей Лукацкий
Бизнес-консультант по безопасности

Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 1/120

О чем пойдет речь?

 О каком законодательстве мы говорим?
 Что такое DLP-решение?
Какие данные защищаем?
Где может произойти утечка?
Классификация DLP-решений
 Требования российского законодательства
 Требования международного законодательства
 Стандарты и лучшие практики
 Законно ли применение DLP-решений?


Парафраз о
законодательстве


Иерархия требований по ИБ

Рекомендации
Международные Резолюции Стандарты
и требования
ООН, принципы (например, ISO
требования ОЭСР… 2700x)
(например, PCI
DSS)

Национальные Законы, Постановления, и требования
требования кодексы, указы приказы (например,
ПДн)

Отраслевые Стандарты Стандарты
и требования
(например, СТО ISO 13569,
требования БР ИББС)
(например,
HB 174-2003
СТР-К)

Корпоративные Стандарт
Концепция ИБ настроек
требования оборудования


Что такое DLP-
решение?


Что такое предотвращение потери
данных (DLP)?

Защита конфиденциальных
и персональных данных на
уровне содержимого
при использовании (In-Use)
при передаче (In-Motion)
при хранении (At-Rest)

DLP Защита от случайных или
намеренных утечек данных

Расширение политики
безопасности для защиты
данных


Классификации DLP

DLP

Data-at- Data-in- Data-in-
Rest Motion Use

ILM DLP СЗИ от НСД

Защита от
Классификация Защита от
случайных Шифрование
данных кражи данных
утечек


Что мы
защищаем?


Данные или информация?

Данные Контекст Информация

 Сами по себе данные не являются целью для
защиты, т.к. не представляют никакого интереса для
злоумышленников
 Данные интересны только в контексте, т.е. когда они
становятся информацией


Утечку чего надо контролировать?

 DLP-решение обеспечивает предотвращение или
контроль утечек информации ограниченного доступа,
к которой согласно российскому законодательству
относят
Конфиденциальную информацию (она же информация
ограниченного доступа)
Государственную тайну
 В российском законодательстве существует около 50
видов тайн
Все они требуют защиты
Но нарушение не каждой из них влечет за собой наказание


Парафраз о тайне в российском праве

 В российском праве отсутствует единая
классификация тайн
Указ президента №188 – только одна из попыток (не самая
удачная)
 Также отсутствует четкое правовое понятие терминов
«тайна» и «конфиденциальная информация»
 В различных нормативных актах
Конфиденциальная информация приравнивается к гостайне
Конфиденциальная информация противопостовляется
гостайне
Конфиденциальная информация включает тайну связи или
находится с ней на одном и том же уровне иерархии
Конфиденциальная информация не относится к охраняемой
законом

Пример: банковская тайна

 Сведения об операциях, счетах и вкладах ее
клиентов и корреспондентов, а также об иных
сведениях, устанавливаемых кредитной
организацией
Определена в ФЗ 395-1 «О банках и банковской
деятельности», 857 ГК РФ, Таможенный кодекс РФ, ФЗ «О
реструктуризации кредитных организаций»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ


Пример: персональные данные

 Любая информация, относящаяся к определенному
или определяемому на основании такой информации
физическому лицу (субъекту персональных данных),
в том числе его фамилия, имя, отчество, год, месяц,
дата и место рождения, адрес, семейное,
социальное, имущественное положение,
образование, профессия, доходы, другая
информация
Определены в 143-ФЗ «Об актах гражданского состояния»,
152-ФЗ «О персональных данных», 242-ФЗ «О
государственной геномной регистрации в РФ» и т.д.
Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ


Пример: коммерческая тайна

 Научно-техническая, технологическая,
производственная, финансово-экономическая или
иная информация (в том числе составляющая
секреты производства (ноу-хау), которая имеет
действительную или потенциальную коммерческую
ценность в силу неизвестности ее третьим лицам, к
которой нет свободного доступа на законном
основании и в отношении которой обладателем такой
информации введен режим коммерческой тайны
Определена в 98-ФЗ «О коммерческой тайне»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ


Коммерческая тайна для АО

 Реестр держателей акций
 Финансовая и бухгалтерская информация
 Документы стратегического развития
 Прогнозы по развитию бизнеса
 Аналитика по рынкам
 Внутренние документы конкурентного анализа
 Информация о системе защиты информации
 Информация по разведке, запасах и добыче
полезных ископаемых
 Информация по сбыту нефти и нефтепродуктов
 Исходные коды программных продуктов…

Другие виды тайн
Наказание за
Тайна Содержимое Нормативный акт
разглашение
Научно-техническая, технологическая,
производственная, финансово-
экономическая или иная информация (в
том числе составляющая секреты
Информация, производства (ноу-хау), которая имеет
составляющая действительную или потенциальную 98-ФЗ "О коммерческой
183 УК РФ, 81 ТК РФ
коммерческую коммерческую ценность в силу тайне"
тайну неизвестности ее третьим лицам, к
которой нет свободного доступа на
законном основании и в отношении
которой обладателем такой информации
введен режим коммерческой тайны
ФЗ 395-1 "О банках и
Сведения об операциях, счетах и
банковской деятельности",
Банковская тайна вкладах ее клиентов и корреспондентов,
857 ГК РФ, Таможенный
(тайна банковских а также об иных сведениях, 183 УК РФ, 81 ТК РФ
кодекс РФ, ФЗ "О
вкладов) устанавливаемых кредитной
реструктуризации
организацией
кредитных организаций"
Указ Президента от
6.03.1997 №188, 139 ГК РФ,
Служебные сведения, доступ к которым
ФЗ "Об основах
ограничен органами государственной
государственной службы
Служебная тайна власти в соответствии с Гражданским 81 ТК РФ
Российской Федерации",
кодексом Российской Федерации и
Постановление
федеральными законами
Правительства РФ от
3.11.94г. № 1233

Другие виды тайн (продолжение)

Тайна кредитной 218-ФЗ "О кредитных
81 ТК РФ
истории историях"

Сведения о страхователе,
застрахованном лице и
Тайна страхования выгодоприобретателе, состоянии их 946 ГК РФ 81 ТК РФ
здоровья, а также об имущественном
положении этих лиц

Сведения, касающиеся содержания
Тайна завещания завещания, его совершения, изменения 1123 ГК РФ 81 ТК РФ
или отмены

Любые полученные налоговым органом,
органами внутренних дел, органом
государственного внебюджетного фонда и 146-ФЗ "Налоговый кодекс
Налоговая тайна 183 УК РФ, 81 ТК РФ
таможенным органом сведения о РФ"
налогоплательщике (за рядом
исключением)

Тайна усыновления
223-ФЗ Семейный кодекс РФ 155 УК РФ, 81 ТК РФ
ребенка



Сведения о наличии у гражданина
психического расстройства, фактах
117-ФЗ "О психиатрической
обращения за психиатрической помощью
Врачебная тайна помощи и гарантиях прав 81 ТК РФ
и лечении в учреждении, оказывающем
граждан при ее оказании"
такую помощь, а также иные сведения о
состоянии психического здоровья

Информация о факте обращения за
медицинской помощью, состоянии
здоровья гражданина, диагнозе
заболевания, иные сведения, полученные Основы законодательства 151 ГК РФ, 1064 ГК
при обследовании и лечении гражданина, РФ об охране здоровья РФ, 137 УК РФ, 81
а также сведения о проведенных граждан ТК РФ
искусственном оплодотворении и
имплантации эмбриона, а также о
личности донора

Результаты обследования лица,
Медицинская тайна 223-ФЗ Семейный кодекс РФ 81 ТК РФ
вступающего в брак
4180-1-ФЗ "О
Сведения о доноре
Возможно это врачебная тайна трансплантации органов 81 ТК РФ
и реципиенте
и(или) тканей человека"



Тайна переписки,
телефонных
переговоров,
176-ФЗ "О почтовой связи",
почтовых, 138 УК РФ, 81 ТК РФ
126-ФЗ "О связи", УПК РФ
телеграфных или
иных сообщений
(тайна связи)

Тайна частной
жизни (личная Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ
тайна)

Любые сведения и документы,
полученные и (или) составленные
аудиторской организацией и ее
307-ФЗ "Об аудиторской
Аудиторская тайна работниками, а также индивидуальным 81 ТК РФ
деятельности"
аудитором и работниками, с которыми им
заключены трудовые договоры, при
оказании услуг (за рядом исключений)

Тайна 241 УПК РФ, 10 ГПК РФ, 11
судопроизводства АПК РФ, 166 УПК РФ, Указ
81 ТК РФ
(тайна следствия и Президента от 6.03.1997
судопроизводства) №188



Адвокатская тайна
Любые сведения, связанные с оказанием 63-ФЗ "Об адвокатской
(она же тайна
адвокатом юридической помощи своему деятельности и адвокатуре в 81 ТК РФ
судебного
доверителю РФ"
представительства)

Основы законодательства
Тайна нотариальных
Российской Федерации о 81 ТК РФ
действий
нотариате

Профессиональная Указ Президента от
Общее понятие 81 ТК РФ
тайна 6.03.1997 №188

143-ФЗ "Об актах
гражданского состояния",
Персональные 152-ФЗ "О персональных 13.11 КоАП, 137 УК
данные данных", 242-ФЗ "О РФ, 81 ТК РФ
государственной геномной
регистрации в РФ"

125-ФЗ "О свободе совести 120-е правило
Тайна исповеди и о религиозных Номоканона при
объединениях" Большом Требнике



Государственная ФЗ 5485-1 "О
81 ТК РФ
тайна государственной тайне"

Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ

51-ФЗ "О выборах депутатов
Государственной Думы
Федерального Собрания
РФ", 19-ФЗ "О выборах
Тайна голосования Президента РФ", 67-ФЗ "Об 141 УК РФ, 81 ТК РФ
основных гарантиях
избирательных прав и права
на участие в референдуме
граждан РФ"…

Журналистская 2124-1-ФЗ "О средствах
81 ТК РФ
тайна массовой информации"



Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления
Секрет производства профессиональной деятельности,
1465 ГК РФ 183 УК РФ, 81 ТК РФ
(ноу-хау) которые имеют действительную или
потенциальную коммерческую ценность в
силу неизвестности их третьим лицам, к
которым у третьих лиц нет свободного
доступа на законном основании и в
отношении которых обладателем таких
сведений введен режим коммерческой
тайны
Сведения об
сущности
изобретения,
полезной модели 147 УК РФ, 7.12
147 УК РФ, 7.12 КоАП
или промышленного КоАП, 81 ТК РФ
образца до их
официальной
публикации



Тайна
предварительного 139 УПК РФ, ФЗ 2202-1 "О
расследования прокуратуре РФ"
(следствия)

Тайна сведений о
мерах безопасности
в отношении судьи и 311 УК РФ 311 УК РФ, 81 ТК РФ
иных участников
уголовного процесса
мерах безопасности
в отношении
должностного лица 320 УК РФ, 17.13
320 УК РФ, 17.13 КоАП
правоохранительног КоАП, 81 ТК РФ
о или
контролирующего
органа
Сведения о частной жизни (личной и
Тайна дневников и семейной тайне), содержащиеся в Присутствовало в
личных записей дневниках, блокнотах, записныъ книжках, предыдущей версии ГК РФ
записках и т.п.



Сведения об отношении к религии, к
исповеданию или отказу от исповедания
религии, об участии или неучастии в 125-ФЗ "О свободе совести и
Тайна
богослужениях, других религиозных о религиозных 81 ТК РФ
вероисповедания
обрядах и церемониях, о деятельности в объединениях"
религиозных объединениях, об обучении
религии
Сведения о местах дислокации или о
передислокации соединений и воинских
частей внутренних войск, а также
сведения о военнослужащих внутренних
военнослужащих 27-ФЗ "О внутренних
войск, принимавших участие в пресечении 81 ТК РФ
внутренних войск войсках МВД РФ"
деятельности вооруженных преступников,
МВД
незаконных вооруженных формирований
и иных организованных преступных групп,
а также сведений о членах их семей
Тайна сведений
личного
характера, ставшие 122-ФЗ "О социальном
известными обслуживании граждан
81 ТК РФ
работникам пожилого возраста и
учреждений при инвалидов"
оказании
социальных услуг


119-ФЗ "О государственной
защите потерпевших,
потерпевших,
свидетелей и иных
свидетелей и иных
участников уголовного 81 ТК РФ
участников
судопроизводства", Указ
уголовного
Президента от 23.09.2005
судопроизводства
№1111

Производственная Скорее всего совпадает с понятием 146-ФЗ "Налоговый кодекс
81 ТК РФ
тайна "секрет производства" РФ"

Любая не являющаяся общедоступной
информация об эмитенте и выпущенных
им эмиссионных ценных бумагах, которая
ставит лиц, обладающих в силу своего
Тайна ценных бумаг
служебного положения, трудовых 39-ФЗ "О рынке ценных
(она же служебная 81 ТК РФ
обязанностей или договора, заключенного бумаг"
информация)
с эмитентом, такой информацией, в
преимущественное положение по
сравнению с другими субъектами рынка
ценных бумаг



76-ФЗ "О статусе
Некоторые юристы относят военную тайну
военнослужащих", Устав
Военная тайна либо к государственной тайне, либо к 81 ТК РФ
внутренней службы
служебной тайне Вооруженных сил РФ
Вооруженных Сил РФ
лицах, внедренных в
организованные
преступные группы,
штатных негласных
сотрудников
органов,осуществля
ющих оперативно- 144-ФЗ "Об оперативно-
81 ТК РФ
розыскную розыскной деятельности"
деятельность, а
также лицах,
оказывающих или
оказывавших им
содействие на
конфиденциальной
основе
Тайна совещания Суждения, имевшие место при
298 УПК РФ 81 ТК РФ
судей обсуждении и постановлении приговора



Тайна совещания
Суждения, имевшие место во время
присяжных 341 УПК РФ 81 ТК РФ
совещания
заседателей
Информация об особенностях строения
128-ФЗ "О государственной
Дактилоскопическая папиллярных узоров пальцев рук
дактилоскопической 81 ТК РФ
тайна человека и о его личности (охраняется в
регистрации в РФ"
режиме служебной тайны)

352-ПП от 28.05.1992 "О
заключении
межправительственных
Торговая тайна 81 ТК РФ
соглашений во избежании
двойного налогообложения
жоходов и имущества"

352-ПП от 28.05.1992 "О
заключении
Промышленная межправительственных
81 ТК РФ
тайна соглашений во избежании
двойного налогообложения
доходов и имущества"



Соглашение между
Правительством РФ и
Правительством Республики
Беларусь об избежании
Секретный торговый
двойного налогообложения и 81 ТК РФ
процесс
предотвращении уклонения
от уплаты налогов в
отношении налогов на
доходы и имущество
Информация, Правительством РФ и
противоречащая Правительством Республики
81 ТК РФ
государственным Узбекистан об избежании
интересам двойного налогооблажения
доходов и имущества
Правительством РФ и
Информация,
Правительством Республики
раскрытие которой
Молдова об избежании
противоречит 81 ТК РФ
двойного налогооблажения
национальному
доходов и имущества и
законодательству
предотвращении уклонения
от уплаты налогов


Другие виды тайн (окончание)

Конвенция между
Информация, Правительством РФ и
которую нельзя Правительством
получить в ходе Королевства Швеции об
81 ТК РФ
обычной избежании двойного
административной налогообложения в
практики отношении налогов на
доходы
В зависимости от нормативного акта
может включать в себя государственную
тайну, противопоставляться ей, быть 61-ФЗ "Таможенный Кодекс
Конфиденциальная самостоятельным видом тайны (наряду, РФ", 126-ФЗ "О связи", Указ
81 ТК РФ
информация например, с банковской или Президента от 6.03.1997
коммерческой тайной, а также тайной №188
связи), а также вообще не считаться
охраняемой законом
3-ФЗ "О статусе депутата
Совета Федерации и статусе
Депутатская тайна депутата Государственной 81 ТК РФ
Думы Федерального
Собрания РФ", 56 УПК РФ

Тайна жилища Конституция РФ 139 УК РФ


Переход из состояния в состояние

ПДн
Другие виды
тайн Врачебная
(страхование, нотариат, … ВТ тайна
усыновление и т.д.)

Служебная
Тайна
связи ТС СТ тайна

Банковская БТ КТ Коммерческая
тайна тайна

Классификация
информации


Классификация информации

 Классификация информации – разделение
существующих информационных активов
организации по типам, выполняемое в соответствии
со степенью тяжести последствий от потери их
значимых свойств ИБ
СТО БР ИББС-1.0-2008

 В организации рекомендуется провести
классификацию неплатежной информации
 Классификацию информации следует проводить в
соответствии со степенью тяжести последствий
потери ее свойств ИБ, в частности, свойств
доступности, целостности и конфиденциальности
СТО БР ИББС-1.0-2008

ISO 27002-2005, ITU-T X.1051

 Стандарт ISO/IEC 27002 «Свод правил по
управлению защитой информации»
Раздел 7.2 стандарта ISO 27002 посвящен классификации
ГОСТ Р ИСО/МЭК 17799-2005

 Рекомендации ITU-T X.1051 «Система управления
информационной безопасностью – Требования к
электросвязи (ISMS-T)»
Раздел А.3.2 стандарта посвящен классификации


РС БР ИББС-2.2-2009

 Перечень типов информационных активов
формируется на основе результатов выполнения в
организации БС РФ классификации информационных
активов
 Состав перечня типов информационных активов
(классификация информации) не должен
противоречить нормам законодательства РФ и иных
нормативных правовых актов, в том числе
нормативных актов Банка России
 В конкретной организации БС РФ рекомендуемый
перечень информационных активов может быть
изменен в соответствии с принятыми в ней
подходами к классификации информационных
активов и уровнем детализации типов
информационных активов

Классификация РС БР ИББС-2.2-2009

 Информация ограниченного доступа
Информация, установленная нормами законодательства РФ
Банковская тайна
Персональные данные
Информация, установленная организацией БС РФ
Платежная информация
Внутренняя банковская информация
Управляющая информация платежных, информационных и
информационно-телекоммуникационных систем
 Открытая (общедоступная) информация


Классификация ИСПДн

 Приказ Федеральной службы по техническому и
экспортному контролю (ФСТЭК России) Федеральной
службы безопасности Российской Федерации (ФСБ
России) Министерства информационных технологий и
связи Российской Федерации (Мининформсвязи
России) от 13 февраля 2008 г. N 55/86/20 г. Москва
«Об утверждении Порядка проведения
классификации информационных систем
персональных данных»


Категорирование ПДн

 1 категория
ПДн, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений,
состояния здоровья, интимной жизни

ПДн, позволяющие идентифицировать субъекта персональных данных и
получить о нем дополнительную информацию, за исключением
персональных данных, относящихся к категории 1

ПДн, позволяющие идентифицировать субъекта персональных данных

Обезличенные и (или) общедоступные ПДн


Классификация информации в КСИИ

 Методика определения актуальных угроз
безопасности информации в ключевых системах
информационных инфраструктурах
Утверждены 18 мая 2007 года
 Дана методика оценки важности (ценности)
5 степеней важности по конфиденциальности
3 степени важности по целостности
3 степени важности по доступности


Классификация в Газпроме

 СТО Газпром 4.2.3-004. Правила классификации
объектов защиты
 Р Газпром 4.2.3-001. Методика классификации
объектов защиты
 Классификация объектов защиты выполняется с
целью обеспечения дифференцированного подхода к
организации их защиты с учетом уровня критичности,
характеризующего влияние на деятельность и
репутацию организации, ее деловых партнеров,
клиентов и работников
Классификация позволяет определить приоритетность и
экономическую целесообразность проведения дальнейших
мероприятий по обеспечению информационной безопасности
Personal Data
объекта защиты
© 2008 Cisco Systems, Inc. All rights reserved. 39/120

Другие нормативы по классификации

 ISO 13569. Banking and related financial services —
Information security guidelines
 BSI Standard 100-1 Information Security Management
Systems (ISMS)
 BSI-Standard 100-2: IT-Grundschutz Methodology
 The Standard of Good Practice for Information Security
(от ISF)
 И т.д.


DLP с точки зрения
техники


Какая функциональность есть в DLP?

 Контроль доступа к информации
 Контроль использования информации
 Контроль копирования/передачи информации
 Регистрация и учет доступа к информации
 Обеспечение конфиденциальности информации


Парафраз о
конфиденциальности


Что такое конфиденциальность?

 Конфиденциальность информации - обязательное для
выполнения лицом, получившим доступ к
определенной информации, требование не
передавать такую информацию третьим лицам без
согласия ее обладателя
ст.2 ФЗ-149 «Об информации, ИТ и защите информации»

 Конфиденциальность ПДн - обязательное для
соблюдения оператором или иным получившим
доступ к персональным данным лицом требование не
допускать их распространение без согласия субъекта
персональных данных или наличия иного законного
основания
ст.3 ФЗ-152 «О персональных данных»

Дает ли нам
международное
законодательство
право на
применение DLP?


Законы США

 Закон США 107-204 (он же Sarbanes-Oxley Act of
2002)
Секция 302 возлагает на руководство компаний обязательство
обеспечить корректность и истинность финансовой
Общее правило: «Информация, которая может быть
изменения без информирования об этом руководства не
может быть признана корректной»
 Закон США 104-191 (он же Health Insurance Portability
and Accountability Act, HIPAA)
Секция 1173 (d)(2) определяет, что каждое лицо, имеющее
доступ к медицинской информации, должен принимать
административные, технические и физические меры по
защите от несанкционированного использования или
раскрытия этой информации


Законы США

 Комиссия по ценным бумагам США (U.S. Securities
and Exchange Commission) требует обеспечения
конфиденциальности финансовой информации
компаний
В частности, правила SEC Rule 17a-4

 Закон США GLBA (Gramm-Leach-Bliley Act), также
известный под названием Financial Services
Modernization Act
Требует от финансовых учреждений обеспечить безопасность
и приватность любых персональных сведений клиентов,
находящихся на попечении организации (в том числе номеров
банковских счетов, баланса средств на счетах и т.д.)

 Аналогичные требования есть в законе США FACTA
(Fair and Accurate Credit Transactions Act of 2003)

Законы Европы

 Директива Европарламента 2002/58/EC (она же e-
Privacy Directive)
Множество правил обращения с электронной информацией,
включая требование обеспечения конфиденциальности
 Конвенция Совета Европы о защите личности в связи
с автоматической обработкой персональных данных
 Директива 95/46/ЕС Европарламента и Совета
ЕвроСоюза от 24 октября 1995 года о защите прав
частных лиц применительно к личным данным и о
свободном движении таких данных
 Директива 97/66/ЕС Европарламента и Совета
ЕвроСоюза от 15 декабря 1997 года, касающаяся
использования персональных данных и защиты
неприкосновенности частной жизни в сфере
телекоммуникаций

Правила об уведомлении

 Все штаты США имеют собственные законы,
обязывающие компании, ставшие жертвой утечек
персональных данных своих клиентов, уведомлять
последних об этих фактах
Стоимость уведомления одного клиента – от 20 долларов
 Чтобы уведомить, необходимо узнать об утечке
 Первая ласточка - California's Database Security
Breach Notification Act (SB 1386) and General Security
Standard for Businesses (AB 1950)


Базель II


Базель II

 Базель II (Международная конвергенция измерения
капитала и стандартов капитала: новых подходы)
Принят в 2004-м году (первая версия – в 1988 г.)
 Базель II применяется в США, Евросоюзе, Канаде,
Японии и Индии
 В России и некоторых других странах СНГ
планировалось сделать эти требования
обязательными в 2009-2010 гг.
Но вмешался кризис ;-(
 Ориентация на финансовые институты


Риски

 Базель II предъявляет требования к минимальному
размеру банковского капитала
Подход может применяться и к другим отраслям

 Необходимо оценивать кредитные, рыночные и
операционные риски и резервировать капитал на их
покрытие
Операционные риски появились только во второй версии
соглашения

 Неэффективное управление операционными рисками
приводит
К возрастанию операционных рисков
К большим финансовым резервам, «вырванным» из бизнеса

О резервировании капитала

 Капитал резервируется на покрытие возможного
ущерба от осуществления рисков
 Сумма резервирования зависит от принятого метода
измерения рисков
Базовый индикативный подход
Стандартизованный подход
Расширенный измеряющий подход (AMA)
 Чем «серьезнее» метод измерения, тем меньше
сумма резервирования
 При базовом индикативном подходе сумма
резервирования равна 15% среднегодового валого
дохода за предыдущие 3 года
Зависит от требований национальных стандартов бухучета

Определение операционного риска

 Операционный риск - риск возникновения убытков в
результате несоответствия характеру и масштабам
деятельности кредитной организации и (или) требованиям
действующего законодательства внутренних порядков и
процедур проведения банковских операций и других сделок,
их нарушения служащими кредитной организации и (или)
иными лицами (вследствие непреднамеренных или
умышленных действий или бездействия), несоразмерности
(недостаточности) функциональных возможностей
(характеристик) применяемых кредитной организацией
информационных, технологических и других систем и (или) их
отказов (нарушений функционирования), а также в результате
воздействия внешних событий


Определение операционного риска в
"Базель II"
Злоупотребление
Пожар или полномочиями
землетрясение
Ненадлежащие
процедуры контроля

Неполные/
ненадлежащие ОПЕРАЦИОННЫЙ РИСК
бизнес-процедуры Определяется как риск убытков,
возникающих в результате Внутренние/
ненадлежащих внутренних внешние кражи
процессов, кадровых ресурсов или
систем, или их отказа, а также
внешних событий
Утрата ключевых
работников или (Базель II) Некорректная /
целых отделов неполная /
устаревшая база
данных MIS

Отказы ИТ-
систем и сетей Невыполнение Судебные
требований разбирательства,
регулирующих органов начатые против компании

© 2003 Cisco Systems, Inc. С сохранением всех прав. Cisco Systems, Inc. All rights reserved.
Personal Data © 2008 55
55/120

ИТ- vs ИБ- vs операционный риск

Риск ИТ

Безопасность
и
доступность ИТ

Операционный риск

Связанные с ИТ-системами риски представляют собой (всего
лишь) часть операционных рисков, но именно на них приходится
большинство крупных убытков…
© 2003 Cisco Systems, Inc. С сохранением2008 Cisco Systems, Inc. All rights reserved.
Personal Data © всех прав. 56
56/120

Репутационные риски

 Базель II указывает (п.732), что «в процессе оценки
достаточности капитала должны учитываться все
существенные риски, с которыми сталкивается банк»
 Согласно п.742 в состав таких рисков должны входить
репутационные риски


Виды операционных рисков по Базель II
1-ый уровень 2-ой уровень 3-ий уровень
событий событий событий
Неотраженные в отчетности
Неразрешенная операции
деятельность Неразрешенные типы
Внутреннее операций
мошенничество Умышленное уничтожение
Воровство и активов
мошенничество Присвоение чужих счетов
Воровство, хищения, грабеж
Воровство и Воровство, грабеж
Внешнее мошенничество Подделка
мошенничество Хакерство
Безопасность систем Кража информации
Организация трудовой
Взаимоотношения с
деятельности
сотрудниками Вопросы оплаты труда
Кадровая политика и
безопасность труда Охрана здоровья
Безопасная среда Компенсации сотрудникам
Дискриминация Все типы дискриминации


Нарушения инструкций
Приемлемость, Раскрытие информации
раскрытие Злоупотребления
конф.информацией
Деятельность без лицензии
Неправильная деловая
или рыночная практика
Клиенты, продукты и
деловая практика Дефекты продуктов
Изъяны продуктов Ошибки конструкции
Выбор, спонсорство и Превышение лимитов риска
риски на одного клиента

Разногласия в оценках
Консалтинговые услуги результатов консалтинговых
услуг
Ущерб от природных
Причинение ущерба Катастрофы и прочие
катастроф
физическим активам события Терроризм, вандализм


Нарушения в ведении Программное обеспечение
Аппаратное обеспечение
бизнеса и системные Системы Телекоммуникации
сбои Сбои в предоставлении услуг
Неправильные
коммуникации
Исполнение и
Ошибки при вводе данных
поддержание операций Неправильное
функционирование систем
Несоблюдение обязательной
Мониторинг и отчетность отчетности
Исполнение, доставка
Неполная документация
и управление Привлечение клиентов и
Отсутствие разрешения от
процессами ведение документации клиентов
Управление клиентскими Неавторизованный доступ
счетами Халатность

Торговые контрагенты Конфликты с контрагентами

Поставщики и Аутсорсинг
подрядчики Конфликты с поставщиками

Управление рисками в России

 Положение №242-П «Об организации внутреннего
контроля в кредитных организациях и банковских
группах» от 16 декабря 2003 г.
Обязателен к применению
 Письмо ЦБР от 24 мая 2005 г. №76-Т «Об
организации управления операционным риском в
кредитных организациях»


Внутренний
контроль


Корпоративное управление

 Система отчетности перед акционерами лиц, которым
доверено текущее руководство компанией
 Способ управления компанией, который обеспечивает
справедливое и равноправное распределение
результатов деятельности между всеми акционерами,
а также заинтересованными лицами


Корпоративное управление (продолжение)

 Комплекс мер и правил, которые помогают
акционерам контролировать руководство компании и
влиять на менеджмент с целью максимизации
прибыли и стоимости предприятия
 Система взаимоотношений между менеджерами
фирмы и ее владельцами по вопросам обеспечения
эффективности деятельности компании и защите
интересов владельцев, а также других
заинтересованных сторон


Зачем внедрять?

 Признание деловым сообществом
 Рост репутации в глазах инвесторов, кредиторов и
партнеров
 Рост стоимости акций по сравнению с компаниями, не
внедрившими корпоративное управление
Рост от 20 до 50%
 Обязательное или настоятельно рекомендуемое
внедрение
Защита интересов
 Биржевые требования листинга
 Рост конкурентоспособности

Необходимость внутреннего контроля

 Разделение права собственности и управления этой
собственностью
 Конфликт интересов акционеров (рост капитализации)
и менеджмента (статус, бонус и зарплата)
 Требуются
Разграничение сфер деятельности и ответственности
Прозрачность управления
Распределение исполнительных и контрольных функций
Правила и процедуры для доступа акционеров к сведениям о
деятельности компании
 Нужен внутренний контроль механизмов
корпоративного управления

Внутренний контроль

 Процесс, разработанный под руководством или с
участием CEO и CFO компании, а также введенный в
действие советом директоров, менеджментом и
другими служащими компании, чтобы предоставить
разумные гарантии достоверности финансовой
отчетности и обеспечить подготовку финансовых
отчетов для внешних целей в соответствие с
общепринятыми принципами бухгалтерского учета
 Этот процесс включает политики и процедуры,
которые (среди прочих):
Предоставляют разумную гарантию предотвращения или
своевременного выявления неавторизованного приобретения,
использования или перемещения корпоративных активов,
которое может материально повлиять на финансовую
отчетность

Внутренний контроль

 Внутренний контроль осуществляется в целях
обеспечения:
Эффективности и результативности финансово-хозяйственной
деятельности при совершении банковских операций и других
сделок, эффективности управления активами и пассивами,
включая обеспечение сохранности активов, управления
банковскими рисками
Достоверности, полноты, объективности и своевременности
составления и представления финансовой, бухгалтерской,
статистической и иной отчетности (для внешних и внутренних
пользователей), а также информационной безопасности
(защищенности интересов (целей) кредитной организации в
информационной сфере, представляющей собой совокупность
информации, информационной инфраструктуры, субъектов,
осуществляющих сбор, формирование, распространение и
использование информации, а также системы регулирования
возникающих при этом отношений)

Регулирование внутреннего контроля

 Положение №242-П «Об организации внутреннего
контроля в кредитных организациях и банковских
группах» от 16 декабря 2003 г.
 Кодекс корпоративного управления ФСФР (Россия)
 Акт Сарбейнса-Оксли (Sarbanes-Oxley Act of 2002)
 Принципы корпоративного управления Организации
экономического сотрудничества и развития (ЕС,
США, Канада, Япония и др., исключая Россию)
 Руководящие принципы корпоративного управления
Euroshareholders (Евросоюз)
 Объединенный кодекс корпоративного управления
(Великобритания)

Дает ли нам
российское
законодательство
право на
применение DLP?


Трехглавый закон

 Федеральный закон от 27 июля 2006 года №149-ФЗ
«Об информации, информационных технологиях и
защите информации»
 Обязательным является соблюдение
конфиденциальности информации, доступ к которой
ограничен федеральными законами
Ст.9
 Запрещается распространение информации… за
распространение которой предусмотрена уголовная
или административная ответственность
Ст.10


Трехглавый закон (окончание)

 Защита информации представляет собой принятие
правовых, организационных и технических мер,
направленных на
обеспечение защиты информации от неправомерного доступа,
уничтожения, модифицирования, блокирования, копирования,
предоставления, распространения, а также от иных
неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного
доступа
ст.16

 Следовательно DLP-решение является средством
защиты
Следовательно требование применять средства защиты
подразумевает применение в т.ч. и DLP-решений

Закон «О коммерческой тайне»

 Федеральный закон от 29 июля 2004 года №98-ФЗ «О
коммерческой тайне»
 Меры по охране конфиденциальности информации,
принимаемые ее обладателем, должны включать в
себя
ограничение доступа к информации, составляющей
коммерческую тайну, путем установления порядка обращения
с этой информацией и контроля за соблюдением такого
порядка
учет лиц, получивших доступ к информации, составляющей
коммерческую тайну, и (или) лиц, которым такая информация
была предоставлена или передана


Закон «О персональных данных»

 Федеральный закон от 27 июля 2006 года №152-ФЗ
«О персональных данных»
 Операторами и третьими лицами, получающими
доступ к персональным данным, должна
обеспечиваться конфиденциальность таких данных
Ст.7
 Оператор при обработке персональных данных
обязан принимать необходимые организационные и
технические меры, в том числе использовать
шифровальные (криптографические) средства, для
защиты персональных данных от неправомерного или
случайного доступа к ним…копирования,
распространения персональных данных…
Ст.19

Иные законы

 Десятки других федеральных законов РФ
устанавливают требование обеспечения защиты
Врачебной
Страховой
Адвокатской
Банковской
Служебной
Аудиторской
Иных видов тайн
 с помощью общих требований, указанных в ФЗ-149
«Об информации, информационных технологиях и
защите информации»


Законодательство
о персональных
данных


Мы не первые
Год принятия Страна Закон
1974 США The Privacy Act of 1974
1978 (с Франция Data Protection Act of 1978
изменениями
в 2004)
1980 США Privacy Protection Act of 1980
1983 Канада The Privacy Act
1992 Венгрия Act LXIII of 1992 on the Protection of Personal
Data and the Publicity of Data of Public Interests
1992 Швейцария The Federal Law on Data Protection of 1992
1993 Новая Зеландия Privacy Act, Privacy Amendment Act
1994 Корея Act on Personal Information Protection of Public
Agencies Act on Information and Communication
Network Usage
1995 Евросоюз European Union Data Protection Directive of 1995
1995 Гонконг Personal Data Ordinance (The "Ordinance")

Мы не первые (продолжение)
1995 Тайвань Computer Processed Personal data Protection
Law
1996 Эстония Personal Data Protection Act
1996 Литва Law on Legal Protection of Personal Data
1997 Греция Law No.2472 on the Protection of Individuals with
Regard to the Processing of Personal Data

1997 Италия Processing of Personal Data Act
1997 Польша Act of the Protection of Personal Data
1998 Австралия Privacy Act of 1988
1998 Чили Act on the Protection of Personal Data
1998 Швеция Personal Data Protection Act
1998 Португалия Act on the Protection of Personal Data

Мы не первые (продолжение)
1999 Словения Personal Data Protection Act
1999 Испания ORGANIC LAW on the Protection of Personal Data
2000 Аргентина Personal Data Protection Act of 2000 (он же
Habeas Data)
2000 Австрия Data Protection Act 2000
2000 Чехия Act on Protection of Personal Data
2000 Канада Personal Information Protection and Electronic
Data Act (PIPEDA) of 2000 (Bill C-6)
2000 Дания Act on Processing of Personal Data
2000 Финляндия Act on the Amedment of the Personal Data Act
(хотя первые нормативные акты по защите
ПДн в Финляндии появились еще в 1987 году)
2000 Исландия Act of Protection of Individual; Processing
Personal Data
2000 Индия Information Technology Act

Мы не первые (окончание)
2000 Латвия Personal Data Protection Law
2000 Норвегия Personal Data Act
2000 Южная Корея The Act on Promotion of Information and
Communications Network Utilization and Data
Protection of 2000
2001 Германия Federal Data Protection Act of 2001
2002 Евросоюз EU Internet Privacy Law of 2002 (DIRECTIVE
2002/58/EC)
2002 Люксембург Law on the Protection of Persons with Regard to
the Processing of Personal Data
2002 Мальта Data Protection Act
2002 Словакия Act No. 428 on Personal Data Protection
2003 Ирландия Data Protection (Amendment) Act
2003 Италия Data Protection Code of 2003
2003 Япония Personal Information Protection Law
2007 Дубай Data Protection Law of 2007 80/120
Personal Data © 2008 Cisco Systems, Inc. All rights reserved.

Базовая иерархия документов по ПДн

Директивы
Конвенции и иные Евросоюза / Европейская Рекомендации
ОЭСР
международные договора Европарламента Конвенция

ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005

Постановления №781 от №687 от №512 от
Правительства 17.11.2007 15.09.2008 6.07.2008

Проект
Приказы и «Приказ
трех» от
4 «закрытых»
документа
2 открытых
регламента
осуществления
иные документы 13.02.2008 ФСТЭК
документа ФСБ
контроля и
надзора

 И еще 3-4 десятка нормативных актов разных уровней


ПДн в России и США

Россия США

• Уведомление о факте • Уведомление только в
обработке ПДн случае инцидента
• Ответственность за • Ответственность за утечку
нарушение установленного ПДн
порядка обработки ПДн • Оператор уведомляет
• Субъекты запрашивают субъекта, но только в случае
оператора, какие ПДн он утечки ПДн
обрабатывает • Защита небольшого перечня
• Защита любых ПДн – ПДн, разглашение которых
контроля больше влечет материальный ущерб
• Убытки равны и для ИП и • Убытки пропорциональны
для крупного бизнеса числу скомпрометированных
ПДн


Стандарты и
практики


Стандарты и практики

 ISO/IEC 27002
Должны быть определены процедуры для обращения с
информацией и хранения информации, с целью защитить эту
информацию от неразрешенного раскрытия или
неправильного использования (10.7.3)
 СТО БР ИББС-1.0-2008
 ГОСТ Р ИСО/МЭК ТО 13335-4 -2007 «Методы и
средства обеспечения безопасности. Выбор защитных
мер»
 ГОСТ Р ИСО/МЭК 13569 «Финансовые услуги.
Рекомендации по информационной безопасности»


Стандарты и практики (окончание)

 Bundesamt für Sicherheit in der Informationstechnik (BSI)
Standard 100-2: IT-Grundschutz Methodology
Safeguard Catalogues
 The Standard of Good Practice for Information Security
(ISF SoGP)
 ITU-T X.805. Архитектура безопасности для систем,
обеспечивающих связь между оконечными
устройствами
 North American Electric Reliability Corporation (NERC)
1300
 Документы ФСТЭК

Документы ФСТЭК

СТР-К РД
15408
МСЭ,
Ключевые Персональные Коммерческая
АС
системы данные тайна
СВТ…

Требования по защите Требования к Требования к
разных видов тайн разработке функциональности
средств защиты средств защиты

Технические требования регуляторов
Разграничение доступа
Система управления Изоляция процессов
Документальное сопровождение Управление потоками
Защита от утечек по техническим каналам Коммерческая
РД ФСТЭКжизненным циклом БР ИББС
СТО
Управление Разграничение доступа экранирование
Межсетевое Разграничениетайна
доступа
Идентификация/аутентификация
Разграничение доступа
Межсетевое взаимодействие Регистрация действий
Регистрация действий Регистрация действий
VPN Учет носителей
Антивирусная защита идентификация НСД
Аутентификация и
Документальное сопровождение Реакция на Обеспечение целостности
Политика безопасности
Защита внешнего взаимодействия
Криптозащита Очистка памяти
Защита от утечек по техническим каналамдоступаМежсетевое взаимодействие
Контроль
Организация ИБ
Защита e-mail и архив Тестирование функций защиты
почты
Антивирусная защита информации
Шифрование Отсутствие НДВ
ЭЦП (мандатный/
Управление Учет иот утечек по техническим каналам
активами
Защита маркировка носителей
КриптографияНастройка МСЭ
Безопасность Документальное оформление защита
Обнаружение вторжений HR дискреционный) Антивирусная
15408
Разграничение доступадоступ
Физический
КСИИ
Платежные процессы Контроль целостности
Контроль паролей
Пакетное шифрование
VLAN PCI DSS
Анализ защищенности
Защита данных Физическая безопасность вторжений
Технологические процессы держателей карт
Стеганография
Регистрация действий Обнаружение
Безопасность окруженияVPN
Регистрация действий связи действий BCP
Регистрация
Шифрование в канале
Учет и маркировка носителей Биллинг
Управление средствамиРазграничение
Сигнализация связи
ОбеспечениеКонтроль ОС (одноуровневые/ доступа на инциденты
Обновление антивируса Реагирование
целостности
доступа и маркировка
Межсетевое взаимодействиеобслуживание ИС носителей
Учет
Защита приложений
Обнаружение вторжений
многоуровневые)
Приобретение, разработка и ПМВ доступа Оценка рисков
Разграничение Резервирование
Защита от
Криптографическая защита Повышение осведомленности
СУБД
Управление инцидентамиАнтивирусная защитаАудит
Идентификация и аутентификация
Защита от сбоев, отказов и ошибок
Ловушки BCP
Физический IDS Защита ЛВС
Четверокнижие Защита коммуникаций
Обеспечение целостности идоступ
Сканеры защищенности надежности ГОСТ Р ИСО
СТР-КСоответствие требованиям замки взаимодействия
Электронные
Защита внешнего
ТестированиеРегистрация безопасности
и контроль действий
по ПДн
Анализ безопасностиСУБД
17799:2005
Документальное сопровождение
…

Блиц-анализ технических требований

•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ

Общие
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам

•Защита специфичных процессов (биллинг, АБС, PCI…)
Специфичные •Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)


Стандарты по защите ПДн

 BS 10012:2009 «Data protection. Specification for a
personal information management system»
 NIST SP800-122 «Guide to Protecting the Confidentiality
of Personally Identifiable Information (PII)»
 Четверокнижие ФСТЭК


PCI DSS


Стандарт PCI DSS

 Payment Card Industry Data Security Standard (PCI
DSS) – стандарт защиты информации в индустрии
платежных карт, разработанный международными
платежными системами Visa и MasterCard
Принят в январе 2005 года. Текущая версия – 1.2
12 основных требований, 200+ детальных требований
 PCI DSS объединяет в себе требования программ:
Visa Europe & другие регионы: Account Information Security
(AIS);
Visa USA: Cardholder Information Security (CISP);
MasterCard: Site Data Protection (SDP)

 Поддержка AmEx, Diners Club, Discover, JCB

12 требований PCI DSS
1. Установка и поддержание конфигурации МСЭ для защиты данных
Построение и поддержка
защищенной сети 2. Контроль за сменой выставленных по умолчанию производителем
системных паролей и других параметров системы безопасности
3. Обеспечение защиты хранящихся данных держателей карт
Защита данных владельцев
платежных карт 4. Обеспечение шифрования данных владельцев карт и других
важных данных при их передаче через общедоступные сети

5. Использование и регулярное обновление антивирусного
Поддержка программу программного обеспечения
управления уязвимостями
6. Разработка и поддержка систем по безопасности и их приложений
7. Разграничение доступа к данным по принципу служебной
необходимости и разделения полномочий
Внедрение строгих мер
8. Присвоение уникального идентификационного номера каждому
разграничения доступа лицу, располагающему доступом к компьютеру
9. Разграничение физического доступа к данным держателей карт
10. Отслеживание всех сеансов доступа к сетевым ресурсам и данным
Регулярный мониторинг и владельцев карт
тестирования сети
11. Постоянный анализ процессов обеспечения безопасности

Поддержка политики
12. Наличие и выполнение политики по информационной
информационной безопасности
безопасности

Можно ли читать
чужую переписку с
помощью DLP-
решений?


Что такое переписка?

Отправитель Получатель
Корпоративный
почтовый сервер

 Типовая модель переписки без детального анализа
То как мы обычно видим этот процесс

 Не учитывается широкий круг лиц, имеющих доступ
или возможность доступа к переписке


Что такое переписка?

Служба аудита /
внутреннего контроля /
юридический отдел

Суд /
правоохранительные органы
Служба ИБ
Служба ИТ

Отправитель Получатель
Корпоративный
почтовый сервер Оператор связи

Хранилище / архив Аутсорсинговая
компания


Тайна переписки

 Закон не определяет этого термина
 Для разных видов «переписки» тайну составляет
разный объем информации
Телеграф – ознакомление с адресом или содержанием не
является нарушением тайны
Обычная почта – адрес не является тайной, в отличие от
содержимого письма
Телефон – тайну составляет не только содержание разговора,
но и информация о входящих/исходящих соединениях

 Как быть с e-mail?


Право на тайну переписки

 Ст.17 международного пакта о гражданских и
политических правах
 Ст. 12 Всеобщей Декларации прав человека
 Ст. 8 Европейской Конвенции о защите прав человека
и основных свобод
 Ст. 56 Конституции СССР 1977 года
ст. 128 Конституции СССР 1936 года

 Ст. 23 действующей Конституции
Каждый имеет право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений.
Ограничение этого права допускается только на основании
судебного решения

Ограничение права на тайну переписки

 Предусмотрено законом и необходимо в
демократическом обществе в интересах
национальной безопасности и общественного
порядка, экономического благосостояния страны, в
целях предотвращения беспорядков или
преступлений, для охраны здоровья или
нравственности или защиты прав и свобод других лиц
Европейская Конвенция о защите прав человека и основных
свобод

 В России ограничение возможно
Если это прямо установлено в законе
Если есть судебное решение


Нарушение тайны переписки

 Нарушение тайны переписки … заключается в
ознакомлении с ее содержанием без согласия лица,
которому эта информация принадлежит
Комментарии к УК РФ

 Средство мониторинга и контроля электронной почты
не может стать субъектом уголовного или
административного разбирательства
Виноватым может быть признан только человек, работающий с
системой мониторинга e-mail


Аргументы сторонников

 Служебная переписка не относится к ст.23 Конституции
 Если сотрудник дал нам согласие, то нет нарушений
 Вся переписка сотрудника – собственность предприятия
 Если в поле «CC:» (копия сообщения) любого
сообщения включить адрес сотрудника службы ИБ, то
тем самым сотрудник дает «добро» на просмотр его
сообщений
 Мы запрещаем сотруднику использовать
предоставленные ему СВТ в личных целях
 Сотрудники боятся увольнения
 ФЗ «О коммерческой тайне» разрешает мне все

Служебная переписка?

 Правоприменительная практика Европейского суда по
ст.8 Европейской Конвенции о защите прав человека и
основных свобод, которая легла в основу российского
законодательства в данной области (и последнее не
должно ей противоречить), гласит, что тайна переписки
распространяется как на частные, так и на служебные.
Об этом же говорит и Конституционный суд в своем
определении


Согласие на все?

 Мы не можем получить согласие на просмотр всей
переписки, неограниченной временем и другими
факторами
Оно вступает в противоречие с неотчуждаемым правом (ст.17
Конституции) любого гражданина на тайну переписки
Всеобъемлющее разрешение противоречит п.4 ст.9
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных
данных», который обязывает четко регламентировать цель и
длительность обработки персональных данных, а также их
перечень
Получение упомянутого в УК согласия всего лишь убирает из
состава правонарушения признаки уголовно наказуемого
деяния. А судебное решение по-прежнему требуется


E-mail = канцелярия?

 Часто контроль электронной почты сравнивается с
деятельностью канцелярии, которая прочитывает всю
входящую и исходящую корреспонденцию на предмет
ее соответствия установленным регламентам
документооборота
Отчасти правомерно, но… только к деловой, а не личной
переписке
А запретить личную переписку нельзя


CC: спасет?

 Важно не как организована система электронной почты
 Важно кто и на каком основании получает доступ к
чужой переписке
Если у сотрудника ИБ или канцелярии нет разрешения на чтение
почты, то какая разница, как он ее получил?

 Проблему решит направление всех писем на
единственный исходящий адрес all@domain.ru
Но будет ли от этого польза бизнесу?


Ознакомить под роспись?

 Частая рекомендация – под расписку ознакомить всех
сотрудников с правилами пользования корпоративной
электронной почтой, в которых будет написано, что они
согласны с перлюстрацией и за нарушение правил
могут последовать санкции вплоть до увольнения
Максимум на что «попадет» сотрудник – это увольнение, в то
время как работодатель подпадает под действие КоАП и УК
Причиной его увольнения послужило использование
корпоративного почтового сервера в личных целях и
работодатель этим увольнением сам признает, что он
контролирует почту и нарушил тайну переписки
Патовая ситуация – признавая ограничение тайны переписки, он
становится участником уголовного разбирательства, а
отказываясь от этого, он попадает под огонь трудовой
Personal Data
инспекции за незаконное увольнение
© 2008 Cisco Systems, Inc. All rights reserved. 105/120

Расписка?

 Расписка или включение соответствующего пункта в
трудовой договор будут признаны ничтожным, т.к.
ограничивает работника в правах (ст.9 ТК)
 Эта же статья не дает возможности работодателю
отказаться от обеспечения тайны переписки, т.к. это
условие «ограничивает права или снижает уровень
гарантий работников по сравнению с
установленными» федеральным законодательством
 Уволить сотрудника за нарушение правил работы с
электронной почтой нельзя – такой пункт отсутствует в
ст.81 ТК РФ, описывающий причины расторжения
трудового договора со стороны работодателя

Расписка? (окончание)

 Работодатель вообще не имеет права требовать от
своих работников согласия на ознакомление с их
личной перепиской
 Это запрещено согласно п.8 ст.9 Федерального Закона
от 27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите
информации», которая гласит
Запрещается требовать от гражданина (физического лица)
предоставления информации о его частной жизни, в том
числе информации, составляющей личную или семейную
тайну, и получать такую информацию помимо воли
гражданина (физического лица), если иное не предусмотрено
федеральными законами


Собственность предприятия?

 Такой пункт в трудовом договоре вступает в
противоречие с 4-й частью ГК, заменившего
Федеральный закон «Об авторском и смежных правах»
 Право на электронное письмо (авторское право),
которое может быть названо литературным
произведением (если так посчитает сотрудник) и
является результатом интеллектуальной деятельности,
принадлежит работнику
 Вставляя такой пункт в трудовой договор, мы
ограничиваем работника в его правах, что недопустимо
Отказаться от этих прав невозможно (ст. 1228, 1265 ГК), как и
передать их работодателю


Служебное произведение?

 Если произведение создано в рамках трудовых
обязанностей (т.н. служебное произведение), то
согласно ст. 1295 ГК его автором (но не владельцем
исключительных прав) все равно считается работник, а
не работодатель
Но применять нормы, связанные со служебным произведением,
неправомерно, т.к. служебным оно будет только тогда, когда
создано по служебному заданию или в рамках трудовых
обязанностей
Личное же письмо не отвечает этим признакам – «создано на
рабочем месте» и «создано по служебной необходимости» не
одно и тоже
Интеллектуальные права не зависят от права собственности на
материальный носитель, в котором выражены соответствующие
Personal Data
результаты интеллектуальной деятельности (ст.1227 ГК) 109/120
© 2008 Cisco Systems, Inc. All rights reserved.

Коммерческая тайна?

 Статьи 10 и 11 говорят, что работодатель можно
контролировать порядок обращения с коммерческой
тайной и может ознакамливать работника под расписку
с принятыми защитными мерами, включая и контроль
электронной почты
Личная переписка сотрудников к информации, составляющей
коммерческую тайну, не относится

 Режим коммерческой тайны не может быть использован
в целях, противоречащих требованиям защиты ... прав
и законных интересов других лиц
Ст.10 ФЗ «О коммерческой тайне»


А что с получателем?

 Расписка (даже если найти ей легитимное оправдание)
касается только отправителя письма
А как быть с получаталем?

 Согласно ст.17 Конституции «осуществление прав и
свобод человека и гражданина не должно нарушать
права и свободы других лиц»
Расписка нужна от всех получателей!


Доказательства?

 Доказательства, полученные с нарушением закона, не
имеют юридической силы и не могут быть положены в
основу решения суда
Согласно УПК (ст.75) и ГПК (ст.55)

 То же говорится в в п.14 Постановлении от 31.10.1995
№ 8 Пленума Верховного Суда


Что же делать?

 Управление рисками
Защита интересов организации <> защита интересов сотрудника

 Математика
Произведение вероятности подачи иска сотрудников,
вероятности его выигрыша (необходимо трезво взвешивать силу
собственной юридической службы и работника) и вероятности
досудебного разрешения спора

 Поручительство
Работник поручает работодателю защищать свои интересы
путем проверки электронной почти на наличие в ней
вредоносных программ (ст. 273 УК), порнографии (ст. 242 УК),
государственной тайны (ст. 283 УК), коммерческой и банковской
тайны (ст. 183 УК), тайны переписки (ст. 138 УК) и т.п.

Что делают в Европе?

 Европейский суд по правам человека признал, что
Существование определенного законодательства,
разрешающего вести скрытое наблюдение за почтой и связью,
является, ввиду исключительных условий, необходимым в
демократическом обществе

 Европейский суд установил критерии правомерности
таких действий


Когда читать можно?

1. они предусмотрено законом и необходимы в демократическом обществе в
интересах государственной безопасности, общественного порядка или
экономического благосостояния страны, в целях предотвращения беспорядка или
преступлений, охраны здоровья или защиты нравственности или защиты прав и
свобод других лиц;
2. осуществляются в соответствии с законодательством (внутренние регламенты,
которые легко поменять в любой момент времени, не допускаются);
3. закон и принятые на его основе подзаконные акты известны общественности и
легкодоступны – отечественная практика навешивать на нормативные акты гриф
«для служебного пользования» этому противоречит;
4. нормативные акты носят настолько четкий и определенный характер, что, исходя
из них, заинтересованные лица могут корректировать свое поведение –
нормативные акты России этому критерии, как правило, не соответствуют;
5. в законах фиксируются пределы компетенции государственных органов,
уполномоченных принимать решения о перлюстрации и осуществлять его, и
ограничения на способы реализации этих правомочий;
6. ограничение права необходимо для защиты демократических ценностей и
институтов;

Когда читать можно? (окончание)

7. нарушение тайны переписки осуществляется в целях предотвращения и
пресечения не каких-то мелких, а вполне определенных и наиболее опасных
преступлений – иными словами сообщение о размере зарплаты гендиректора не
относится к разряду контролируемых;
8. круг лиц, против которых предпринимаются означенные действия, строго
ограничен – т.е. контролировать всех до единого запрещено;
9. мониторинг носит выборочный, а не общепоисковый характер – опять
противоречие с российской практикой, когда контролируется вся почта без
ограничений;
10. вмешательство рассматривается как временная мера – и снова нестыковка – у нас
обычно контролируют не просто «отсюда и до обеда», а пока хватает объема у
системы хранения;
11. для информации, полученной в результате перлюстрации, обеспечивается ее
конфиденциальность;
12. в случае прекращения преследования или оправдания по требованию
соответствующего лица записи либо возвращаются ему, либо уничтожаются –
проконтролировать данное требование, проявившееся и в законе «О
персональных данных», на практике почти нереально.

Заключение


Дополнительные сведения

 Раздел сайта Cisco.com о технологии DLP
www.cisco.com/go/dlp

 Соответствие решений Cisco различным
нормативным актам России
http://my.cisco.ru

 Информация о потерях данных в мировом
масштабе
http://www.privacyrights.org/ar/ChronDataBreaches.htm
http://attrition.org/dataloss/


Вопросы?

Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410


DLP As Part Of Security Standards

More Related Content

Viewers also liked (6)

Similar to DLP As Part Of Security Standards (20)

More from Aleksey Lukatskiy (20)

DLP As Part Of Security Standards