Старые и новые требования по защите информации от утечек и использованию DLP в России

1. Последние изменения
в законодательстве РФ.
Требования по защите
информации от утечки
Прозоров Андрей
Ведущий эксперт по информационной безопасности
InfoWatch 03-2014

3. Почему тема актуальна?
• Количество утечек информации растет, инциденты привлекают
внимание СМИ. Регуляторы рынка ИТ и ИБ адекватно реагируют на
изменение ландшафта угроз
• В 2013 году появилось много новых требований и рекомендаций по
информационной безопасности. В явном виде предъявляются
требования по наличию средств защиты от утечек информации
• В 2014 году планируются важные изменения в законодательстве РФ
и нормативных документах регуляторов
• В 2013 году обновились основные международные стандарты по
ИБ: PCI DSS 3.0 и ISO 27001-2013

4. •
•
•
•
•
•
•
•
•
149-ФЗ «Об информации, ИТ и защите информации»
152-ФЗ «О персональных данных»
98-ФЗ «О Коммерческой тайне»
224-ФЗ «О противодействии неправомерному
использованию инсайдерской информации …»
161-ФЗ «О национальной платежной системе»
…
ПП 1119 «Об утверждении требований к защите ПДн при
их обработке ИСПДн»
ПП 2036-р «Об утверждении Стратегии развития отрасли
ИТ в РФ на 2014 - 2020 годы и на перспективу до 2025
года»
…

5. Регуляторы ИБ
РКН
ФСТЭК России
Общие
ФСБ России
…
Отраслевые

6. Что нас ждет по ПДн в 2014?
• Повышение штрафов за невыполнение
требований по обработке и защите ПДн
• Появление штрафов за утечку ПДн
• Обязательное уведомление РКН об
утечках ПДн

7. ФСТЭК определяет требования
•
•
Приказ 17 (ГосИС), Приказ 21 (ПДн), Проект приказа по АСУ ТП
Методические рекомендации «Меры защиты информации в ГосИС»
(11.02.2014)
– Управление событиями и инцидентами (РСБ, ИНЦ)
– Безопасность машинных носителей (ЗНИ)
– Контроль содержания передаваемой информации (ОЦЛ.5, ОЦЛ.8, УПД.3)
ОЦЛ.5. Контроль содержания информации, передаваемой из информационной
системы (контейнерный, основанный на свойствах объекта доступа, и
контентный, основанный на поиске запрещенной к передаче информации с
использованием сигнатур, меток и иных методов), и исключение
неправомерной передачи информации из информационной системы
•
Подготовлен проект РД по DLP

8. Требования к реализации ОЦЛ.5: В ИС должен осуществляться контроль содержания информации, передаваемой из ИС
(контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче
информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из ИС.
Контроль содержания информации, передаваемой из ИС, должен предусматривать:
•
выявление фактов неправомерной передачи защищаемой информации из ИС через различные типы сетевых
соединений, включая сети связи общего пользования и реагирование на них;
•
выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители
информации и реагирование на них;
•
выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и
реагирование на них;
•
выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из
буфера обмена и реагирование на них;
•
контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
•
выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы
данных, почтовые архивы и иные ресурсы).
Контроль содержания информации, передаваемой из ИС, осуществляется по цифровым отпечаткам информации, по
регулярным выражениям и (или) по атрибутам безопасности (меткам безопасности) файлов, а также с помощью иных
методов.
Правила и процедуры контроля содержания передаваемой информации регламентируются в организационнораспорядительных документах оператора по защите информации.
Требования к усилению ОЦЛ.5:
1) в ИС должно осуществляться хранение всей передаваемой из ИС информации и (или) информации с недопустимым к
передаче из ИС содержанием, в течение времени, определяемого оператором;
2) в ИС должна осуществляться блокировка передачи из ИС информации с недопустимым содержанием.

9. Если кратко
Контроль передачи
информации по сети
Контроль мест хранения
информации
Контроль съемных носителей
Архив сообщений
Контроль печати
Блокировка
Контроль буфера обмена

10. Позиция ЦБ РФ
•
•
•
•
п.5.4.
Наибольшими
возможностями
для
нанесения
ущерба
организации БС РФ обладает ее собственный персонал. В этом случае
содержанием деятельности злоумышленника является прямое нецелевое
использование предоставленного ему в порядке выполнения служебных
обязанностей контроля над активами либо нерегламентированная
деятельность для получения контроля над активами. При этом он будет
стремиться к сокрытию следов своей деятельности.
Внешний злоумышленник, как правило, имеет сообщника (сообщников)
внутри организации БС РФ.
Незлоумышленные действия собственных работников создают либо
уязвимости ИБ, либо инциденты, влияющие на свойства доступности,
целостности и конфиденциальности актива или параметры системы,
которая этот актив поддерживает.
Актив: Все, что имеет ценность для организации БС РФ и находится в ее распоряжении
(втч различные виды банковской информации)
СТО БР ИББС 1.0-2010

11. Защита от внутренних угроз –
важнейшая задача ИБ

12. Что ожидаем от ЦБ РФ в 2014
• Обновление 382-П и СТО БР ИББС 1.0
• В новом СТО БР ИББС 1.0 появился
термин «утечка»
• Новые рекомендации (РС):
управление инцидентами и
предотвращение утечек

13. СТО БР ИББС и DLP
•
•
•
•
П.7.4.3. В организации БС РФ должны быть определены, выполняться,
регистрироваться и контролироваться правила и процедуры: … выявления и
блокирования несанкционированного перемещения (копирования) информации,
в том числе баз данных, файловых ресурсов, виртуальных машин
7.4.5 В организации БС РФ должен быть определен, выполняться и
контролироваться порядок использования съемных носителей информации
п. 7.6.9. Электронная почта должна архивироваться. Целями создания архивов
электронной почты являются: контроль информационных потоков, в том числе с
целью предотвращение утечек информации; использование архивов при
проведении разбирательств по фактам утечек информации. Должны быть
определены, выполняться, регистрироваться и контролироваться правила и
процедуры доступа к информации архива и ее изменения, предусматривающие
возможность доступа работников службы ИБ к информации архива.
… (7.4.4, 7.6.10, 7.10.5.1, 8.2.2, 8.10, 8.12)
СТО БР ИББС 1.0-2014 (проект)

14. Международные стандарты
PCI DSS 3.0
ISO 27001-2013

15. PCI DSS и DLP
• 4.2 Никогда не следует пересылать
незащищенный PAN при помощи
пользовательских технологий
передачи сообщений (электронная
почта, системы мгновенной
отправки сообщений, чаты и т.д.).
• Частично:
– Управление событиями и
инцидентами (10.6, 10.7, 12.10)
– Контроль доступа к информации
(7.1, 7.2)

16. ISO 27001 и DLP
Задача
Инвентаризация и
категорирование информации
Контроль обмена
информацией и
предотвращение утечек
Контроль носителей
информации
Сбор событий и управление
инцидентами
Защита персональных данных
Защита интеллектуальной
собственности
27001-2005 (старая версия)
27001-2013
A.7.1 Responsibility for assets
A.8.1.1 Inventory of assets
A.7.2 Information classification
A.10.8 Exchange of information
A.8.2.1 Classification of information
A.13.2 Information transfer
A.12.5.4 Information leakage
A.10.7 Media handling
A.8.3 Media handling
A.10.10 Monitoring
A.12.4 Logging and monitoring
A.13 Information security incident
management
A.15.1.4 Data protection and privacy of
personal information
A.15.1.2 Intellectual property rights (IPR)
A.16 Information security incident
management
A.18.1.4 Privacy and protection of
personally identifiable information
A.18.1.2 Intellectual property rights