Актуальность и существующая проблематика внедрения DLP-решений на предприятиях горно-металлургической отрасли Информация о компании ХОЛДИНГ «МЕТАЛЛОИНВЕСТ» - один из крупнейших и наиболее динамично развивающихся горно-металлургических холдингов России. В состав Холдинга входят ведущие предприятия горнодобывающей и металлургической отраслей России: ОАО «Михайловский ГОК»; ОАО «Лебединский ГОК»; ОАО «Оскольский электрометаллургический комбинат»; ОАО «Уральская сталь». Холдинг «МЕТАЛЛОИНВЕСТ»: Владелец самых больших запасов железной руды в мире; Крупнейший производитель железорудной продукции в СНГ; Четвертый производитель железорудного сырья в мире; Единственный производитель металлизованного сырья в Европе; Пятый производитель стальной продукции в России. Свыше 11 000 бизнес-пользователей информационных систем. 2 Информация о компании УПРАВЛЯЮЩАЯ КОМПАНИЯ Управляющая компания «МЕТАЛЛОИНВЕСТ» образована с целью эффективного управления активами, консолидированными в рамках Холдинга "МЕТАЛЛОИНВЕСТ". Управляющая компания "МЕТАЛЛОИНВЕСТ" - первая российская компания, представляющей горнометаллургический сектор, внедрившая и сертифицировавшая Систему Управления Информационной Безопасностью (СУИБ) на соответствие международному стандарту ISO/IEC 27001. 3 Современный подход к DLP Определение Предотвращение утечек (англ. Data Loss Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется. Методы Распознавание конфиденциальной информации в DLP-системах производится двумя способами: • анализ формальных признаков (например, грифа документа, специально введённых меток, сравнением хэшфункции); • анализ содержимого. Комментарий Считается, что первый способ позволяет избежать ложных срабатываний (ошибок второго рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки первого рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди «грифованных» документов. В хороших DLP-системах оба способа сочетаются. 4 Актуальность внедрения DLP Объекты защиты • Информация о себестоимости выпускаемой продукции; • Статистические данные по качеству произведенной продукции; • Сведения о текущих проблемах, испытываемых производством; • Сведения о порядке обеспечения безопасности предприятия; • и др. Текущая ситуация на предприятиях • Год основания в среднем 1960-1970; • Устаревший парк РС; • ИС собственной разработки, «закрытые» АСУТП; • Недостаточный уровень зрелости бизнес-процессов, системы документооборота; • Недостаток квалифицированных кадров. Сложность обеспечения эффективного функционирования DLP-решений на основании анализа формальных признаков 5 Борьба с инсайдерами (эффективный подход) 6 Юридические аспекты Ст.23 Конституции Российской Федерации 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Статья 137 УК РФ. Нарушение неприкосновенности частной жизни 1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. 2. Те же деяния, совершенные лицом с использованием своего служебного положения, - наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев. Статья 138 УК РФ. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений 1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года. 2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев. 7 Юридические аспекты Выход (?) Получение письменного разрешения от каждого сотрудника организации на ознакомление уполномоченных лиц с сообщениями, передаваемыми сотрудником, получаемыми им или адресованными ему, которые передаются или поступают по средствам связи, принадлежащим или используемым организацией. Мнение Право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений распространяется на все сообщения, включая передаваемые по служебным каналам связи; Сотрудник не может отказаться от своего права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, т.к. это право является неотчуждаемым, т.е. любой отказ от права будет недействителен. Среди перечня прав обладателя информации, составляющей коммерческую тайну, отсутствует право на ознакомление с передаваемыми сообщениями и вообще право как-либо контролировать каналы связи с целью проверки режима коммерческой тайны. Самое большее, на что имеет право обладатель коммерческой тайны - требовать от иных лиц конфиденциальности и неразглашения. Вывод Исходя из вышеуказанного существует риск привлечения к уголовной ответственности по ст.138 УК РФ 8 Борьба с инсайдерами (учет специфики) 9 Заключение Международный опыт В Великобритании в 2003 году был принят Свод правил, дополняющих Акт о защите информации, расширительно трактующих право на защиту частной и семейной жизни, а также на защиту частной корреспонденции. Новые нормы четко прописывают "правила игры". В частности, работодатели должны доказывать, что контроль за служащими необходим для компании и нарушение баланса интересов обоснованно. Выводы Борьба с инсайдерами на промышленных предприятиях оправдана и легко обоснуема, но легальная реализация эффективной схемы не представляется возможной по причине существования юридических рисков в части ответственности за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Выходом из ситуации может явиться совместная работа регуляторов и участников рынка с целью определения «правил игры». Внедрение DLP-решений, основанных на анализе формальных признаков, представляется возможным, но его эффективность с точки зрения борьбы с инсайдерами на промышленных предприятиях может являться невысокой ввиду существования определенного ряда проблем (низкий уровень зрелости бизнес-процессов, документооборота, закрытость используемых АС и др.). При внедрении решения особое внимание следует уделять регламентации сопутствующих процессов (контроль изменений бизнес-процессов, регламент актуализации системы и др.). 10 Спасибо за внимание! Евгений Климов, CISSP, CISM, PMP Начальник отдела информационной безопасности УК «МЕТАЛЛОИНВЕСТ» e.klimov@metinvest.com 11