18
Прозоров Андрей Ведущий эксперт по информационной безопасности Последние изменения в законодательстве РФ. Требования по защите информации от утечки InfoWatch 03-2014

пр Iw про compliance 2013 03-05 16на9

Embed Size (px)

DESCRIPTION

Старые и новые требования по защите информации от утечек и использованию DLP в России

Citation preview

Page 1: пр Iw про compliance 2013 03-05 16на9

Прозоров Андрей Ведущий эксперт по информационной безопасности

Последние изменения

в законодательстве РФ.

Требования по защите

информации от утечки

InfoWatch 03-2014

Page 2: пр Iw про compliance 2013 03-05 16на9
Page 3: пр Iw про compliance 2013 03-05 16на9

• Количество утечек информации растет, инциденты привлекают

внимание СМИ. Регуляторы рынка ИТ и ИБ адекватно реагируют на

изменение ландшафта угроз

• В 2013 году появилось много новых требований и рекомендаций по

информационной безопасности. В явном виде предъявляются

требования по наличию средств защиты от утечек информации

• В 2014 году планируются важные изменения в законодательстве РФ

и нормативных документах регуляторов

• В 2013 году обновились основные международные стандарты по

ИБ: PCI DSS 3.0 и ISO 27001-2013

Почему тема актуальна?

Page 4: пр Iw про compliance 2013 03-05 16на9

• 149-ФЗ «Об информации, ИТ и защите информации»

• 152-ФЗ «О персональных данных»

• 98-ФЗ «О Коммерческой тайне»

• 224-ФЗ «О противодействии неправомерному

использованию инсайдерской информации …»

• 161-ФЗ «О национальной платежной системе»

• …

• ПП 1119 «Об утверждении требований к защите ПДн при

их обработке ИСПДн»

• ПП 2036-р «Об утверждении Стратегии развития отрасли

ИТ в РФ на 2014 - 2020 годы и на перспективу до 2025

года»

• …

Page 5: пр Iw про compliance 2013 03-05 16на9

Регуляторы ИБ

Общие …

Отраслевые

ФСБ России ФСТЭК России РКН

Page 6: пр Iw про compliance 2013 03-05 16на9

• Повышение штрафов за невыполнение

требований по обработке и защите ПДн

• Появление штрафов за утечку ПДн

• Обязательное уведомление РКН об

утечках ПДн

Что нас ждет по ПДн в 2014?

Page 7: пр Iw про compliance 2013 03-05 16на9

• Приказ 17 (ГосИС), Приказ 21 (ПДн), Проект приказа по АСУ ТП

• Методические рекомендации «Меры защиты информации в ГосИС»

(11.02.2014)

– Управление событиями и инцидентами (РСБ, ИНЦ)

– Безопасность машинных носителей (ЗНИ)

– Контроль содержания передаваемой информации (ОЦЛ.5, ОЦЛ.8, УПД.3)

• Подготовлен проект РД по DLP

ФСТЭК определяет требования

ОЦЛ.5. Контроль содержания информации, передаваемой из информационной

системы (контейнерный, основанный на свойствах объекта доступа, и

контентный, основанный на поиске запрещенной к передаче информации с

использованием сигнатур, меток и иных методов), и исключение

неправомерной передачи информации из информационной системы

Page 8: пр Iw про compliance 2013 03-05 16на9

Требования к реализации ОЦЛ.5: В ИС должен осуществляться контроль содержания информации, передаваемой из ИС

(контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче

информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из ИС.

Контроль содержания информации, передаваемой из ИС, должен предусматривать:

• выявление фактов неправомерной передачи защищаемой информации из ИС через различные типы сетевых

соединений, включая сети связи общего пользования и реагирование на них;

• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители

информации и реагирование на них;

• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и

реагирование на них;

• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из

буфера обмена и реагирование на них;

• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;

• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы

данных, почтовые архивы и иные ресурсы).

Контроль содержания информации, передаваемой из ИС, осуществляется по цифровым отпечаткам информации, по

регулярным выражениям и (или) по атрибутам безопасности (меткам безопасности) файлов, а также с помощью иных

методов.

Правила и процедуры контроля содержания передаваемой информации регламентируются в организационно-

распорядительных документах оператора по защите информации.

Требования к усилению ОЦЛ.5:

1) в ИС должно осуществляться хранение всей передаваемой из ИС информации и (или) информации с недопустимым к

передаче из ИС содержанием, в течение времени, определяемого оператором;

2) в ИС должна осуществляться блокировка передачи из ИС информации с недопустимым содержанием.

Page 9: пр Iw про compliance 2013 03-05 16на9

Если кратко

Контроль передачи

информации по сети

Контроль съемных носителей

Контроль печати

Контроль буфера обмена

Контроль мест хранения

информации

Архив сообщений

Блокировка

Page 10: пр Iw про compliance 2013 03-05 16на9

• п.5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.

• Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.

• Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает.

• Актив: Все, что имеет ценность для организации БС РФ и находится в ее распоряжении (втч различные виды банковской информации)

СТО БР ИББС 1.0-2010

Позиция ЦБ РФ

Page 11: пр Iw про compliance 2013 03-05 16на9

Защита от внутренних угроз –

важнейшая задача ИБ

Page 12: пр Iw про compliance 2013 03-05 16на9

• Обновление 382-П и СТО БР ИББС 1.0

• В новом СТО БР ИББС 1.0 появился

термин «утечка»

• Новые рекомендации (РС):

управление инцидентами и

предотвращение утечек

Что ожидаем от ЦБ РФ в 2014

Page 13: пр Iw про compliance 2013 03-05 16на9

• П.7.4.3. В организации БС РФ должны быть определены, выполняться,

регистрироваться и контролироваться правила и процедуры: … выявления и

блокирования несанкционированного перемещения (копирования) информации,

в том числе баз данных, файловых ресурсов, виртуальных машин

• 7.4.5 В организации БС РФ должен быть определен, выполняться и

контролироваться порядок использования съемных носителей информации

• п. 7.6.9. Электронная почта должна архивироваться. Целями создания архивов

электронной почты являются: контроль информационных потоков, в том числе с

целью предотвращение утечек информации; использование архивов при

проведении разбирательств по фактам утечек информации. Должны быть

определены, выполняться, регистрироваться и контролироваться правила и

процедуры доступа к информации архива и ее изменения, предусматривающие

возможность доступа работников службы ИБ к информации архива.

• … (7.4.4, 7.6.10, 7.10.5.1, 8.2.2, 8.10, 8.12)

СТО БР ИББС и DLP

СТО БР ИББС 1.0-2014 (проект)

Page 14: пр Iw про compliance 2013 03-05 16на9

Международные стандарты

PCI DSS 3.0 ISO 27001-2013

Page 15: пр Iw про compliance 2013 03-05 16на9

• 4.2 Никогда не следует пересылать

незащищенный PAN при помощи

пользовательских технологий

передачи сообщений (электронная

почта, системы мгновенной

отправки сообщений, чаты и т.д.).

• Частично:

– Управление событиями и

инцидентами (10.6, 10.7, 12.10)

– Контроль доступа к информации

(7.1, 7.2)

PCI DSS и DLP

Page 16: пр Iw про compliance 2013 03-05 16на9

ISO 27001 и DLP

Задача 27001-2005 (старая версия) 27001-2013

Инвентаризация и категорирование информации

A.7.1 Responsibility for assets

A.7.2 Information classification

A.8.1.1 Inventory of assets

A.8.2.1 Classification of information

Контроль обмена информацией и предотвращение утечек

A.10.8 Exchange of information

A.12.5.4 Information leakage

A.13.2 Information transfer

Контроль носителей информации

A.10.7 Media handling A.8.3 Media handling

Сбор событий и управление инцидентами

A.10.10 Monitoring

A.13 Information security incident management

A.12.4 Logging and monitoring

A.16 Information security incident management

Защита персональных данных A.15.1.4 Data protection and privacy of personal information

A.18.1.4 Privacy and protection of personally identifiable information

Защита интеллектуальной собственности

A.15.1.2 Intellectual property rights (IPR) A.18.1.2 Intellectual property rights

Page 17: пр Iw про compliance 2013 03-05 16на9
Page 18: пр Iw про compliance 2013 03-05 16на9