SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны

Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
04.09.2019

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В одной из наших публикаций мы перечисляли некоторые из возможных типов охраняемой законом информации. Среди данных типов тайн присутствует и коммерческая тайна, работа с которой регламентируется положениями Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне». Поговорим о ней подробнее.


Итак, несмотря на несколько десятков видов тайн, среди них не так много тех, которые могут помочь бизнесу реально защитить свои интересы в области информации и информационных технологий. Действительно, налоговая, банковская или государственная тайна скорее накладывают на компанию дополнительные обязательства, которые зачастую не приносят реальной защиты бизнес-интересов. В случае же коммерческой тайны, при соблюдении положений законодательства, у компаний - обладателей ценной информации появляются реальные рычаги защиты информационных активов и возможность привлечения нарушителей к ответственности, вплоть до уголовной. Также существует возможность добиться от виновного компенсации ущерба интересам компании.


В соответствии с ч.1 ст.3 98-ФЗ под коммерческой тайной (далее - КТ) понимается режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. При этом к данной информации у третьих лиц не должно быть свободного доступа на законном основании, а в её отношении должен быть введен режим коммерческой тайны (п.2 ст.3 98-ФЗ).


Положения 98-ФЗ регулируют отношения, связанные с установлением, изменением и прекращением режима КТ в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам. Режим КТ считается установленным только после принятия обладателем информации, составляющей коммерческую тайну, мер по ее охране (ч.2 ст.10 98-ФЗ).


Требования к мерам по охране конфиденциальности информации определены в ст.10 98-ФЗ и включают в себя:

·  определение перечня информации, составляющей коммерческую тайну, и его регулярную актуализацию;

·  ограничение доступа к КТ путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

·  учет лиц, получивших доступ к информации, составляющей КТ, и (или) лиц, которым такая информация была предоставлена или передана;

·  регулирование отношений по использованию КТ работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

·  нанесение на материальные носители, содержащие информацию, составляющую КТ, меток конфиденциальности.


В соответствии с п.5 ст.10 98-ФЗ меры по охране конфиденциальности информации признаются разумно достаточными, если:

·  исключается доступ к информации, составляющей КТ, любых лиц без согласия ее обладателя;

·  обеспечивается возможность использования информации, составляющей КТ, работниками и передачи ее контрагентам без нарушения режима КТ.


В соответствии с ч.1 ст.4 98-ФЗ право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит ее обладателю, при этом в ст.5 приведен перечень сведений, которые не могут составлять КТ (среди них информация из учредительных документов юридического лица, сведения об экологии и противопожарной безопасности и т.д.). Следует также учесть, что информация, в отношении которой не введен режим КТ, т.е. которая не была включена в перечень сведений, составляющих КТ, не может быть отнесена в коммерческой тайне.


Таким образом, для введения режима КТ компании следует выполнить следующие шаги:


1. Регламентировать введение режима КТ утверждением и подписанием Положения о КТ в компании.


2. Разработать список сведений, составляющих коммерческую тайну. При этом следует провести работу с бизнес-подразделениями для составления корректного, исчерпывающего перечня, а также согласовать и зафиксировать размер компенсации в случае утечки того или иного набора данных.


3. Разработать правила внутреннего трудового распорядка, включающие допустимые способы и порядок обработки информации в компании, правила работы с информационными ресурсами и регламент предоставления доступа к информации. В документе нужно будет указать, что работнику запрещается пользоваться теми или иными интернет-ресурсами (например, социальными сетями или облачными хранилищами) и техническими средствами (например, съемными USB-накопителями/смартфонами). В случае, если планируется использовать автоматизированные средства для контроля соблюдения режима КТ, такие как системы контроля за утечками данных (англ. DLP - Data Loss Prevention), системы мониторинга рабочего времени и интернет-трафика, следует во внутренних нормативных актах прописать право работодателя на использование таких систем и получить явное согласие работника на такой мониторинг.


Следует отдельно задокументировать, что компьютерное оборудование принадлежит работодателю, предоставляется работнику исключительно для выполнения служебных задач и его запрещается использовать в личных целях. Также имеет смысл отдельно подчеркнуть, что работодатель не является оператором связи и предоставляет принадлежащее ему сетевое оборудование и каналы связи исключительно для работы своих сотрудников, поэтому работодатель не обязан обеспечивать тайну связи в соответствии с 126-ФЗ «О связи». Таким образом будет подготовлена нормативная база для осуществления контроля соблюдения режима КТ автоматизированными средствами и легитимированы процедуры проведения внутренних проверок (расследований). При этом следует озаботиться также составом и регламентом работы комиссии по проведению таких внутренних проверок.


4. Далее всех действующих сотрудников следует под роспись ознакомить с указанными выше документами, а новые сотрудники обязаны будут подписывать данные документы при приеме на работу.


5. Технические меры ограничения доступа к КТ могут включать в себя настройку правил доступа пользователей к корпоративным бизнес-системам, сетевым файловым, интранет- и интернет-ресурсам, настройку внутренних почтовых служб и мессенджеров, установку систем контроля за утечками данных, систем мониторинга рабочего времени и интернет-трафика. Рекомендуем использовать ролевую модель предоставления доступа, когда группам сотрудников, выполняющим одинаковые или сходные бизнес-функции в составе одного подразделения, назначается единый типовой, минимально необходимый уровень доступа как ко внутренним, так и ко внешним информационным ресурсам. Не следует забывать и о своевременном отзыве прав доступа при увольнении или изменении служебных обязанностей работника.


6. Учет лиц, получивших доступ к КТ, можно вести как с помощью автоматизированных средств, когда при необходимости получения доступа работник оформляет электронную заявку (например, при потребности в доступе к определенной папке на сетевом диске), так и в бумажном виде, когда сотрудник при приеме на работу или при изменении должности/функционала подписывает документ о необходимости использования тех или иных сведений в силу выполнения им служебных обязанностей.


7. Передачу контрагентам сведений, составляющих КТ, можно организовать с помощью подписания лицензионных договоров о предоставлении права использования секрета производства (ноу-хау) в соответствии со статьей 1469 ГК РФ.


8. Метки конфиденциальности на материальных и информационных носителях можно проставлять либо автоматически (этот функционал предоставляют некоторые DLP-решения и системы принтеризации), либо вручную простановкой печати на бумажных документах и носителях информации (CD/DVD-дисках, съемных накопителях, закрытых системных блоках).


Как мы видим, существует большое количество норм и правил, которые следует выполнить для того, чтобы режим КТ был введен корректно и, в случае необходимости, признан судом легитимным. Однако, разумеется, утечку данных лучше предотвратить, и в этом неоценимую помощь окажут не только корректно настроенные права доступа в объеме, минимально достаточном для выполнения служебных задач, но и упомянутые ранее технические системы. Системы DLP ведут свою историю с конца 90-х годов прошлого века, когда они ограничивались лишь минимальным функционалом вроде запрета на использование съемных накопителей и записи на диски. Современные решения не только контролируют почти все возможные каналы утечки информации (сеть, печать, внешние устройства), но и позволяют осуществлять продвинутый анализ действий пользователей, вплоть до обнаружения фактов приготовления к хищению информации или изменения психофизиологических характеристик сотрудников. Однако всем DLP-решениям для эффективного выполнения возложенных на них задач следует точно  «знать», что они защищают. Иными словами, настройка системы защиты от утечек включает в себя предоставление образцов компьютерной информации, содержащей защищаемые сведения. Далее DLP-системы анализируют обрабатываемые данные во всех контролируемых каналах, вычленяя из потоков информации структуры, сходные с заранее заданными.


Системы мониторинга рабочего времени сотрудников функционируют по иному принципу: они осуществляют детальное журналирование действий работников на технических средствах, включая запись экранов и введенных команд. Такие системы зачастую применяются для контроля использования привилегированных учетных записей (например, администраторов домена/предприятия), а также для записи действий подрядчиков/аутсорсеров.


Наконец, системы контроля сетевого трафика могут представлять собой отдельные решения, но чаще всего они встраиваются в сетевое оборудование, например, в прокси-серверы или межсетевые экраны нового поколения (Next Generation FireWalls). Данные решения позволяют задать правила доступа пользователей к сетевым ресурсам, а также получить информацию о сетевой активности того или иного работника.


Необходимо отметить, что вышеперечисленные технические системы при должной настройке позволят не только выявить возможного внутреннего нарушителя и предотвратить «слив» информации, но и помогут обнаружить несанкционированные действия, осуществленные вредоносным ПО или внешними нарушителями (хакерами). Так, одним их конечных этапов атаки по модели MITRE ATT&CK, о которой мы говорили ранее, является вывод (эксфильтрация) похищенной информации. По сути эти действия будут сходны с действиями инсайдера, тем более что зачастую хакеры пользуются украденными учетными записями ничего не подозревающих пользователей.


Решения Security Vision предоставляют широкие возможности по интеграции с различными средствами защиты информации, в том числе с системами DLP, системами мониторинга рабочего времени и интернет-трафика. Получая от данных систем события информации, продукты Security Vision помогают автоматизировать реагирование на выявленные инциденты утечки информации, порожденные как внутренними нарушителями (инсайдерами), так и внешними (хакерами). В условиях крайне сжатых сроков реагирования, когда украденная информация уже фактически выводится из инфраструктуры, каждая минута промедления может стоить миллионы. Решения Security Vision помогут приоритизировать реагирование на такие инциденты, оперативно оповестить ответственных лиц, предпринять автоматические меры реагирования, включая блокирование сетевых коммуникаций и рабочей станции злоумышленника.

Нарушители ИБ Подкасты ИБ ГОСТы и документы ИБ Управление ИБ Финансы в ИБ

Рекомендуем

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Конфиденциальная информация
Конфиденциальная информация

Рекомендуем

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Конфиденциальная информация
Конфиденциальная информация

Похожие статьи

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR