Upload
andrey-prozorov
View
6.712
Download
1
Embed Size (px)
DESCRIPTION
Старые и новые требования по защите информации от утечек и использованию DLP в России
Citation preview
Прозоров Андрей Ведущий эксперт по информационной безопасности
Последние изменения
в законодательстве РФ.
Требования по защите
информации от утечки
InfoWatch 03-2014
• Количество утечек информации растет, инциденты привлекают
внимание СМИ. Регуляторы рынка ИТ и ИБ адекватно реагируют на
изменение ландшафта угроз
• В 2013 году появилось много новых требований и рекомендаций по
информационной безопасности. В явном виде предъявляются
требования по наличию средств защиты от утечек информации
• В 2014 году планируются важные изменения в законодательстве РФ
и нормативных документах регуляторов
• В 2013 году обновились основные международные стандарты по
ИБ: PCI DSS 3.0 и ISO 27001-2013
Почему тема актуальна?
• 149-ФЗ «Об информации, ИТ и защите информации»
• 152-ФЗ «О персональных данных»
• 98-ФЗ «О Коммерческой тайне»
• 224-ФЗ «О противодействии неправомерному
использованию инсайдерской информации …»
• 161-ФЗ «О национальной платежной системе»
• …
• ПП 1119 «Об утверждении требований к защите ПДн при
их обработке ИСПДн»
• ПП 2036-р «Об утверждении Стратегии развития отрасли
ИТ в РФ на 2014 - 2020 годы и на перспективу до 2025
года»
• …
Регуляторы ИБ
Общие …
Отраслевые
ФСБ России ФСТЭК России РКН
• Повышение штрафов за невыполнение
требований по обработке и защите ПДн
• Появление штрафов за утечку ПДн
• Обязательное уведомление РКН об
утечках ПДн
Что нас ждет по ПДн в 2014?
• Приказ 17 (ГосИС), Приказ 21 (ПДн), Проект приказа по АСУ ТП
• Методические рекомендации «Меры защиты информации в ГосИС»
(11.02.2014)
– Управление событиями и инцидентами (РСБ, ИНЦ)
– Безопасность машинных носителей (ЗНИ)
– Контроль содержания передаваемой информации (ОЦЛ.5, ОЦЛ.8, УПД.3)
• Подготовлен проект РД по DLP
ФСТЭК определяет требования
ОЦЛ.5. Контроль содержания информации, передаваемой из информационной
системы (контейнерный, основанный на свойствах объекта доступа, и
контентный, основанный на поиске запрещенной к передаче информации с
использованием сигнатур, меток и иных методов), и исключение
неправомерной передачи информации из информационной системы
Требования к реализации ОЦЛ.5: В ИС должен осуществляться контроль содержания информации, передаваемой из ИС
(контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче
информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из ИС.
Контроль содержания информации, передаваемой из ИС, должен предусматривать:
• выявление фактов неправомерной передачи защищаемой информации из ИС через различные типы сетевых
соединений, включая сети связи общего пользования и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители
информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и
реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из
буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы
данных, почтовые архивы и иные ресурсы).
Контроль содержания информации, передаваемой из ИС, осуществляется по цифровым отпечаткам информации, по
регулярным выражениям и (или) по атрибутам безопасности (меткам безопасности) файлов, а также с помощью иных
методов.
Правила и процедуры контроля содержания передаваемой информации регламентируются в организационно-
распорядительных документах оператора по защите информации.
Требования к усилению ОЦЛ.5:
1) в ИС должно осуществляться хранение всей передаваемой из ИС информации и (или) информации с недопустимым к
передаче из ИС содержанием, в течение времени, определяемого оператором;
2) в ИС должна осуществляться блокировка передачи из ИС информации с недопустимым содержанием.
Если кратко
Контроль передачи
информации по сети
Контроль съемных носителей
Контроль печати
Контроль буфера обмена
Контроль мест хранения
информации
Архив сообщений
Блокировка
• п.5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.
• Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.
• Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает.
• Актив: Все, что имеет ценность для организации БС РФ и находится в ее распоряжении (втч различные виды банковской информации)
СТО БР ИББС 1.0-2010
Позиция ЦБ РФ
Защита от внутренних угроз –
важнейшая задача ИБ
• Обновление 382-П и СТО БР ИББС 1.0
• В новом СТО БР ИББС 1.0 появился
термин «утечка»
• Новые рекомендации (РС):
управление инцидентами и
предотвращение утечек
Что ожидаем от ЦБ РФ в 2014
• П.7.4.3. В организации БС РФ должны быть определены, выполняться,
регистрироваться и контролироваться правила и процедуры: … выявления и
блокирования несанкционированного перемещения (копирования) информации,
в том числе баз данных, файловых ресурсов, виртуальных машин
• 7.4.5 В организации БС РФ должен быть определен, выполняться и
контролироваться порядок использования съемных носителей информации
• п. 7.6.9. Электронная почта должна архивироваться. Целями создания архивов
электронной почты являются: контроль информационных потоков, в том числе с
целью предотвращение утечек информации; использование архивов при
проведении разбирательств по фактам утечек информации. Должны быть
определены, выполняться, регистрироваться и контролироваться правила и
процедуры доступа к информации архива и ее изменения, предусматривающие
возможность доступа работников службы ИБ к информации архива.
• … (7.4.4, 7.6.10, 7.10.5.1, 8.2.2, 8.10, 8.12)
СТО БР ИББС и DLP
СТО БР ИББС 1.0-2014 (проект)
Международные стандарты
PCI DSS 3.0 ISO 27001-2013
• 4.2 Никогда не следует пересылать
незащищенный PAN при помощи
пользовательских технологий
передачи сообщений (электронная
почта, системы мгновенной
отправки сообщений, чаты и т.д.).
• Частично:
– Управление событиями и
инцидентами (10.6, 10.7, 12.10)
– Контроль доступа к информации
(7.1, 7.2)
PCI DSS и DLP
ISO 27001 и DLP
Задача 27001-2005 (старая версия) 27001-2013
Инвентаризация и категорирование информации
A.7.1 Responsibility for assets
A.7.2 Information classification
A.8.1.1 Inventory of assets
A.8.2.1 Classification of information
Контроль обмена информацией и предотвращение утечек
A.10.8 Exchange of information
A.12.5.4 Information leakage
A.13.2 Information transfer
Контроль носителей информации
A.10.7 Media handling A.8.3 Media handling
Сбор событий и управление инцидентами
A.10.10 Monitoring
A.13 Information security incident management
A.12.4 Logging and monitoring
A.16 Information security incident management
Защита персональных данных A.15.1.4 Data protection and privacy of personal information
A.18.1.4 Privacy and protection of personally identifiable information
Защита интеллектуальной собственности
A.15.1.2 Intellectual property rights (IPR) A.18.1.2 Intellectual property rights