Организационные

 и  
юридические  аспекты  
использования  DLP-­‐систем
ПРОЗОРОВ  А НДРЕЙ,  CISM,  ЧЛЕН   А РСИБ

2016-­‐04-­‐14 1
Зачем  это  надо?
Это  помогает  снизить  юр.риски:
• Возможность  использовать  в  Суде  (ТК  РФ,  УК  РФ)  
информацию,  выявленную  с  использованием  DLP.
• Существенно  повысить  вероятность  победы  в  Суде  
(ТК  РФ,  УК  РФ)
• Возможность  понимать  сильные  и  слабые  стороны,  
конструктивно  общаться  с  HR,  Юристами  и  Руководством
• Возможность  снизить  трудозатраты  (дисциплинарные  
взыскания  и  судебные  издержки)

А  еще  это  помогает  повысить  общий  уровень  ИБ  и эффективность  работы  DLP  

2016-­‐04-­‐14 2
О  чем  эта  презентация?
1. Принципы  легального  использования  DLP
2. Регламентируем  работу  DLP  (документированные  положения)
3. Стратегия  аргументации  DLP (легализация)
4. Управление  инцидентами  
• Общая  процедура  реагирования
• Преследование  нарушителей  по  ТК  РФ  и  УК  РФ
• Увольнение  за  разглашение  охраняемой  законом  тайны

5. DLP для  профи:  

◦ Дилемма  DLP:  блокировать  или  нет?
◦ Обучение  и  повышение  осведомленности
◦ Метрики  и  KPI

6. Дополнительные  материалы

2016-­‐04-­‐14 3
Принципы   легального  использования  DLP
1. Усиливаем  «бумажную  безопасность»  
(документированные  правила)
2. Открыто  контролируем  лишь  корпоративные
ресурсы  и  сервисы
3. Инциденты  необходимо  закрывать  
(доводим  до  «управленческого  решения»)
4. Понимаем  судебную  практику  (увольнение  за  разглашение),  
знаем  «типовые  ошибки»  и  избегаем  их
5. Открыто  взаимодействуем  с  HR,  юристами  и  
руководителями  ключевых  подразделений

2016-­‐04-­‐14 4
Документированные   положения:

1. Необходимы  по  закону  (ТК  РФ,  98-­‐ФЗ,  152-­‐ФЗ  и  пр.)

2. Определяют  желаемое  поведение/состояние
3. Дают  возможность  контроля  их  выполнения
4. Показывают  (Суду,  регуляторам),  что  у  вас  все  
хорошо  с  ИБ,  и  вы  ей  занимаетесь
5. Показывают  руководству  вашу  работу  JJJ

2016-­‐04-­‐14 5
2016-­‐04-­‐14 6
Положения,  необходимые  для  DLP
1. Перечень  информации  ограниченного  доступа  
(ПДн,  КТ,  СТ,  БТ,  ВТ,  и  пр.)
2. Запрет  разглашения  информации  ограниченного  доступа
3. Положения  об  ответственности  работников
4. Правила  обработки  и  защиты  информации
5. Запрет  хранения  личной  информации  на  корп.устройствах
6. Правила  обработки  и  защиты  информации  регулярно  контролируются  
с  использованием  средств  мониторинга
7. Сотрудники  подразделения  ИБ  обеспечивают  контроль  выполнения  
правил  и  реагирование  на  инциденты  ИБ
8. Система  защиты  информации  соответствует  актуальным  угрозам,  а  
также  требованиям  и  рекомендация  регулирующих  органов

2016-­‐04-­‐14 7
Общий  комплект  документов  (для  Суда)

2016-­‐04-­‐14 8
Этим  пугают…  Бууу!!!
Конституция  РФ  статья  23  
1)  Каждый  имеет  право  на  неприкосновенность  частной  жизни,  
личную и  семейную  тайну,  защиту  своей  чести и  доброго  имени.
2)  Каждый  имеет  право  на  тайну  переписки,  телефонных  
переговоров,  почтовых,  телеграфных  и  иных  сообщений.  
Ограничение  этого  права  допускается  только  на  основании  
судебного  решения.

УК  РФ
• Статья  137.  Нарушение  неприкосновенности  частной  жизни  
• Статья  138.  Нарушение  тайны  переписки,  телефонных  
переговоров,  почтовых,  телеграфных  или  иных  сообщений

2016-­‐04-­‐14 9
Почему  можно  использовать  DLP?
1. По  149-­‐ФЗ  (ст.6)  у  обладателя  информации  (организация)  есть  права  
разрешать  и  ограничивать  доступ  к  информации,  определять  порядок  и  
условия  такого  доступа,  принимать  меры  по  защите  информации…
2. Работодатель  не  предполагает  наличие  личной  информации  на  
корпоративных  устройствах  (это  в  явном  виде  запрещено).  Работники  
уведомлены,  что  используются  средства  мониторинга  и  контроля
3. DLP,  как  мера  защиты,  определена  регулятором  (Приказы  ФСТЭК  России  
№21/№17,  мера  ОЦЛ.5)
4. Изучите  судебную  практику! Уже  есть  дела,  выигранные  работодателем,  
контролирующим  рабочую  переписку  и  использующим  DLP
5. Придерживайтесь  стратегии  аргументации  при  использовании  DLP  
(см.далее)

2016-­‐04-­‐14 10
Стратегия  аргументации  (DLP)
1. Работодатель, как обладатель (владелец) информации, информационных систем и сервисов, обладает
правом предъявлять требования по их использованию и контролировать их выполнение. В организации
определен Перечень информации ограниченного доступа, Правила работы с информацией
ограниченного доступа, Политика допустимого использования (средств обработки и ИТ-­‐сервисов). В
частности, в явном виде запрещена передача информации ограниченного доступа с использованием
персональных средств и систем (например, личной электронной почты или мессенджеров, не
утвержденных в организации).
2. Работникам в явном виде запрещено хранить личную информацию на корпоративных ресурсах (рабочие
станции и файловые хранилища) и передавать ее по корпоративным каналам связи (эл.почта и сеть
Интернет).
3. Работники уведомлены, что правила использования корпоративной информации и информационных
ресурсов регулярно контролируются с использованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого рода услуги и не обеспечивает
тайну связи для передачи информации по своим корпоративным каналам. О возможности мониторинга
и контроля корпоративной переписки известно работникам (см.п 3).

2016-­‐04-­‐14 11
 …продолжение
5. У работодателя отсутствует умысел нарушения тайны частной жизни работников. Предполагается, что на
контролируемых ресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то она будет удалена, а к
работнику могут применяться дисциплинарные взыскания за нарушение правил внутреннего трудового
распорядка.
7. Обнаруженная личная информация не будет использована (по крайней мере официально) при
принятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников. Содержание информации,
хранимой в личных сервисах передачи данных (например, внешняя эл.почта) не проверяется даже при
получении такой возможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при контроле входящей почты.
Работники уведомлены, что они обязаны уведомить тех, с кем общаются, о недопустимости
использовании корпоративных сервисов для осуществления любых видов коммуникаций, не связанных
со служебной деятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет использована (по крайней мере
официально) при принятии решений.

2016-­‐04-­‐14 12
Поговорим  про  управление  инцидентами
По ГОСТ 27000-­‐2012
• Событие  ИБ – выявленное  состояние  системы,  
услуги  или  состояние  сети,  указывающее  на  
возможное  нарушение  политики  обеспечения  ИБ,  
нарушение  или  отказ  мер  и  средств  контроля  и  
управления  или  прежде  неизвестная  ситуации,  
которая  может  иметь  значение  для  безопасности.
• Инцидент  ИБ – одно  или  несколько  нежелательных  
или  неожиданных  событий  ИБ,  которые  со  
значительной  степенью  вероятности  приводят  к  
компрометации  бизнеса  и  создают  угрозы  для  ИБ.

2016-­‐04-­‐14 13
 Процедура  упр.инцидентами  +  ТК  РФ
1.Обнаружение  и  регистрация  событий  системой  DLP

3.Оперативное  реагирование  на  

2.Выявление  инцидентов
инцидент
6 мес.
1  мес. 4.Расследование  инцидента

5.Реагирование  на  инцидент

6.Анализ  причин  инцидента  и  «полученных  уроков»

2016-­‐04-­‐14 14
Спец.инструменты   расследования
Важнейшими  элементами  DLP  
становятся  Архив всех  сообщений  и  
Инструменты работы  с  ним

2016-­‐04-­‐14 15
 Инциденты  необходимо  закрывать  
(доводим  до  «управленческого  решения»)

2016-­‐04-­‐14 16
Модель  принятия  решения  по  инцидентам
1. Какова  величина  ущерба?
Крупный  – 6;  Неизвестно  или  пока  нет,  но  может  быть  – 3;  Ущерба  нет  – 1

2. Выявлен  ли  умысел  сотрудника?  

Да  – 3;  Неизвестно  – 1;  Нет,  инцидент  по  ошибке  – 0

3. Какой  уровень  доверия  к  сотруднику?

Низкий  – 3;  Обычный  – 1;  Высокий  – 0

4. Были  ли  у  сотрудника  инциденты  до  этого?  

Да  – 2;  Нет  – 0

5. Какова  вероятность,  что  инцидент  повториться  у  этого  сотрудника?

Высокая  – 3;  Средняя  (скорее  нет,  маловероятно)  – 1;  Низкая  – 0

Если  сумма  баллов  до  6  – вариант  А;  6-­‐12  – вариант  Б;  13  и  больше  – вариант  В

2016-­‐04-­‐14 17
Решение  по  инцидентам  утечки
1. Перевод  в  группу   «Особый  контроль»
А)  По  решению  ИБ
2. Получение  объяснительной
3. Профилактическая  беседа
4. Лишение  благ  и  привилегий (втч  и  лишение  прав  доступа)
5. Дисциплинарные  взыскания:
Б)  По  решению  руководства  и  HR
◦ замечание
◦ выговор

◦ увольнение  по  соответствующим  основаниям  

В)  По  решению  руководства,
HR,  юристов  и  ИБ.   6. Увольнение  по  инициативе  работника  /  по  соглашению  сторон
Необходимо  четкое  понимание   7. Возмещение  ущерба
процедур  и  высокий  уровень   8. Уголовное   преследование
«бумажной  безопасности»
9. Прочее

2016-­‐04-­‐14 18
Реагирование  на  инциденты
Не  слишком  надейтесь  на  других!
Руководство

Обычно  подразделения    живут  в  духе  

«Претензий  к  пуговицам  есть?»…
ИБ  /  СБ  
/  ЭБ

HR  и
юристы

2016-­‐04-­‐14 19
 — Где   вы   видите  себя   через  5  лет?  

— Ну  у  вас  и  шутки,  товарищ  следователь

2016-­‐04-­‐14 20
 Наказание  по  ТК  РФ Наказание  по  УК  РФ
Мотив  работодателя Хотим  наказать  быстро  и   Хотим  сильно  наказать  
просто,  нужен   прецедент (большой  ущерб), нужен  
громкий  прецедент
Основание ТК   РФ  ст.81 УК   РФ  ст.183,  185.5, ст.159, 163
ст.272-­‐274
Возмещение   ущерба Обычно нет По   решению   суда,  но   надо  
доказать  величину   ущерба
Трудозатраты Низкие Средние
Общая   длительность До  1  месяца Может  быть  несколько  лет
Процедура Простая,  по  ТК   РФ Сложная,  по  УПК   РФ
Взаимодействие   с   Нет МВД  России /  ФСБ   России
правоохранительными  
органами
Сложность  сбора Низкая,  решение  принимает   Высокая,  необходимо   соблюсти  
доказательной  базы
2016-­‐04-­‐14
внутренняя  комиссия все   формальные   процедуры
21
 Увольнение   Увольнение   Увольнение  
по  инициативе  работника по  соглашению сторон по  инициативе  работодателя
Основание ТК  РФ  ст.80 ТК  РФ  ст.78 ТК  РФ  ст.81
За  разглашение  – ст.81  п.6  в)
Мотив  компании Без  сложностей  расстаться  с   Расстаться  с  работником,   Наказать,  создать  прецедент для  
нелояльным  сотрудником минимизировать   других  работников
возможные  риски

Ограничение  по   Минимальное  (2  недели),  но   Нет Не  позднее  6  месяцев  со  дня  
срокам работник может  отозвать   совершения проступка,
заявление Не  позднее  1  месяца  со  дня  
обнаружения
Обида  сотрудника Обычно  нет, если  увольнение   Обычно  нет, при  хороших   Обычно  да
без  принуждения условиях соглашения

Желание   Возможно,  если  было Обычно желания  нет.  Суд  на   Да,  особенно  если  есть сильные  
оспорить   в  суде принуждение  к  увольнению стороне  работодателя аргументы  (ошибки  при  
увольнении,  принуждение,  оговор)

Что  другие «Компания  не  хочет  проблем» «За  сотрудником  сила,   «За  компанией  сила,  могут
работники   компания  не  хочет   наказать»
думают? 2016-­‐04-­‐14 проблем» 22
 «Идеальная»   процедура   увольнения  по   ст.81   п.6  в)
№ Шаги Ключевое   Документы
подразделение
1. Обнаружение  инцидента,   сбор   ИБ Краткий  отчет  об  инциденте, Служебная  записка
дополнительной  информации
2. Обсуждение   возможных вариантов   Руководство  и  HR Приказ  о  проведении  служебного
реагирования расследования  (о  создании   Комиссии)
3. Запрос  объяснительной записки  от   HR Объяснительная  записка  /  Акт  об  отказе
работника  (желательно  под  роспись)
4. Заседание   Комиссии HR, ИБ Протокол(-­‐ы)  заседания  комиссии
(хорошей  практикой  является  заседание   (краткое  описание инцидента,   оценка  тяжести  
2х  комиссий:  по  расследованию   и  по   проступка,  обстоятельства  дела,  величина  
кадровым  вопросам) ущерба,  решение)
5. Принятие  решения   об  увольнении,   HR,  руководство Приказ   о  применении   дисциплинарного  
издание   соответствующего  приказа взыскания  /  Акт  об  отказе  ознакомления

2016-­‐04-­‐14 Шаблоны  документов  -­‐ http://www.infowatch.ru/iwc_files/12803   23

Про  доказательства  для  Суда
Важные:
По ТК РФ: Объяснительная от работника (либо Акт об отказе), Служебная
записка об инциденте и Протокол заседания комиссии, рассматривающей
инцидент. В документах следует указать краткое описание инцидента, оценку
тяжести и обстоятельства совершенного проступка.
По  УПК:  Показания  потерпевшего,   свидетеля,  Заключение   и  показания   эксперта  
и  Заключение   и  показания  специалиста,   Вещественные   доказательства.

Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к отчету

рекомендуется приложить краткое описание решения с указанием сертификатов
(подойдет брошюра от производителя).

2016-­‐04-­‐14 24
Из-­‐за  этого  проигрывают  суды:  ошибки
1. Нарушение  процедуры  увольнения  (сроки  и  документы)  
2. Отсутствие  факта   разглашения   (зависит   от  канала   утечки)
3. Отсутствие  режима  защиты  информации  (особенно  КТ):
• Отсутствие  режима  КТ  (не  все  требования  выполнены)
• Отсутствие  перечня  информации  ограниченного  доступа  или  он  не  полный  
• Внесение  в  перечень   сведений,  которые  не  могут  составлять  КТ
• Отсутствие  документированных  обязательств  о  неразглашении
• Отсутствие  документированных  требований  по  обработке  и  защите  информации  ограниченного  доступа
• Отсутствие  подтверждения  ознакомления  работников  с  требованиями
• Отсутствие  разграничения  доступа  к  информации  (все  имеют  доступ  ко  всему)

4. «Детективные  игры»  
(взлом  личной  эл.почты  и  аккаунтов  в  соц.сетях,  досмотр  личных  вещей,  скрытая  аудио/видео  съемка,  
выбивание  признания,  принуждение  свидетелей  и  пр.)
5. Слабая   аргументация  для  Суда

2016-­‐04-­‐14 25
Принципы  легального  использования  DLP
И  еще   1. Усиливаем  «бумажную  безопасность»  
раз… (документированные  правила)
2. Открыто  контролируем  лишь  корпоративные
ресурсы  и  сервисы
3. Инциденты  необходимо  закрывать  
(доводим  до  «управленческого  решения»)
4. Понимаем  судебную  практику  (увольнение  за  разглашение),  
знаем  «типовые  ошибки»  и  избегаем  их
5. Открыто  взаимодействуем  с  HR,  юристами  и  
руководителями  ключевых  подразделений

2016-­‐04-­‐14 26
И  еще  3  слайда  «DLP  для  профи»

• Дилемма  DLP:  блокировать  или  нет?

• Обучение  и  повышение  осведомленности
• Метрики  и  KPI

2016-­‐04-­‐14 27
Дилемма  DLP:  блокировать  или  нет?
Блокировать Только  мониторить
• Возможность  защиты  действительно   • Меньше  рисков  нарушения работы  
важной  информации  от  случайной   бизнес-­‐процессов
утечки • Возможность  наказания  за  
• Наличие  формальных  требований   разглашение  информации  
(напр.PCI DSS) ограниченного  доступа
• «Контролируемая  утечка»

• Наказание только  за  нарушение  

правил  обработки  и  защиты  
информации  (слабое)
• Недовольство  пользователей

2016-­‐04-­‐14 28
Обучение  и  повышение  осведомленности
Кто? Тематики  
Рядовые  пользователи • Правила  работы  с  информацией и  средствами  обработки
• Базовые  требования  по  защите  информации
• Кейсы  (типовые  ошибки,  соц.инженерия)
• Ответственность
ИТ  и  ИБ-­‐специалисты • Процедуры  обнаружения и  реагирования  на  инциденты  
• Расследование  инцидентов
• Сбор  цифровых  доказательств
• Работа  со  средствами  мониторинга  и  защиты  информации
HR  и  юристы • Вопросы  подбора, развития,  обучения,  оценки,  аттестации,  мотивации,  
взысканий, увольнения персонала
• Судебная  практика
• Развитие  корпоративной  культуры
• Compliance (соблюдение  требований)
Менеджмент • Кейсы  (инциденты и  ущерб)
• Базовые  рекомендации  по  защите  информации

2016-­‐04-­‐14 29
Метрики  и  KPI
1. Трудозатраты  при  работе   с   системой   DLP:  
• Настройка  политик
• Мониторинг  событий  и  расследование   инцидентов
2. Количество   выявленных  событий   /   инцидентов:   по  типу   инцидента,   по  критичности,  по  сработавшей  
политике,  по  контролируемому  каналу,  по  персоне/группе и   пр.
3. %  ложных  срабатываний   (FP  и  FN)
4. Время,   затраченное  на  поиск,  агрегацию   и  анализ   информации   о  персоне/группе
5. Среднее   время   реагирования   на   инцидент   (анализ,   управленческое  решение,  закрытие)
6. Трудозатраты  при  реагировании  на  инциденты  (рабочая  группа)
7. Кол-­‐во  человек,  прошедших  внутреннее   обучение   по  вопросам  ИБ   (обработка  информации   и   защита)
8. Количество   дисциплинарных   взысканий  
9. Величина   нанесенного   и/или  предотвращенного  ущерба
10. …

2016-­‐04-­‐14 30
Что  еще  посмотреть  по  теме?

2016-­‐04-­‐14 http://80na20.blogspot.ru 31
Спасибо  за  внимание!
Прозоров  Андрей,  CISM,  член  АРСИБ
Мой  блог:  80na20.blogspot.com
Мой  твиттер:  twitter.com/3dwave
2016-­‐04-­‐14 32