Вы не поверите, но в корпоративной среде «АРМ» употребляют чаще, чем «компьютер» как при разработке внутренних нормативных документов, так и при общении с поставщиками, например.
Если у вас есть привязка номера телефона к карточному счёту в банке, то банк может, помимо номера телефона, запросить у сотового оператора IMSI для авторизации абонента. Это делается для защиты от мошенничества при замене sim-краты или смене владельца номера. Сбер, кстати, снял с себя ответсвенность, прописав в условиях «Мобильногго банка» следующее: «Держатель обязан информировать Банк о прекращении использования номера мобильного телефона, подключенного к услуге «Мобильный банк».»
Сбер проводит кредитный скоринг для конкретного субъекта (или группы), а обезличенность данных подразумевает невозможность однозначно его/её установить. Противоречие, однако :)
Мы у себя пару проектов по bigdata для внешнего рынка потому и зарубили, что были ненулевые риски нарушения ЗПДн и ТС.
В 2015 году компания добавила в модели данные сотовых операторов, что позволило улучшить качество классификатора на 7 п.п. по коэффициенту Джини. Большое число активных сим-карт и небольшое время их работы, мелкие и многочисленные пополнения счетов, подозрительная география звонков указывают на мошенничество и снижают вероятность одобрения кредитной заявки.
Очень интересно, как Сбер получает эти данные? Это же очень похоже на тайну связи…
Нет, перед внедрением DLP обычно проводят аудит бизнес-процессов и выявляют потоки информации, затем из анализируют и разрабатывают правила контроля.
Но потоки имеют свойство меняться или добавляться, поэтому правила должны успевать за ними, а в больших компаниях бизнес не всегда своевременно оповещает об этом безопасность. Вот тут-то и возникает лаг, который может привести к утечке информации.
Неужели после подписания подобных бумаг находятся желающие стянуть что-то? Дарвин в действии.
Находятся, и ещё как. Некоторых не останавливает даже угроза уголовной ответственности.
Вообще, главная угроза в большинстве моделей безопасности — внутренний злоумышленник. Если информацию нужно украсть, то годаздо проще и зачастую дешевле подкупить нужного человека, чем искать уязвимости в системах и взламывать из :)
Первая заповедь безопасности: никакие системы защиты информации не могут стоить больше, чем сама информация. (Правда, некоторые интеграторы так не думают :)) Поэтому DLP обычно ставят там, где утечка информации может нанести очень большой вред. Кроме того, не забывайте про требования законодательства РФ в сфере ЗИ: ответственность за передачу информации конфиденциального характера в электронном виде по открытым каналам связи без использования СКЗИ у нас прописана в КоАП.
Вторая заповедь: все лгут. Самый дружный и сплочённый коллектив может очень быстро превратиться в банку с пауками. История знает множество примеров, когда лучшие друзья становились непримиримыми врагами из-за должности, денег, даже простого признания заслуг…
Защита информации на 75% состоит из работы с людьми. И это не «атмосфера стукачества», как вы выразились, которая на самоме деле только мешает работе, а нормальные человеческие отношения, когда нет ничего предосудительного в предупреждении о возникшей напряженности в коллективе,
DLP — это всегда «броня против снаряда». Сложность в её настройке заключется в том, что способы обойти сущестующие правила контроля должны быть проанализированы и учтены в новых правилах. Зачастую «решение из коробки» устаревает на этапе внедрения, поэтому интергаторы говорят: «Мы делаем только инсталяцию DLP, настройкой занимайтесь сами» :)
На практике для чувствительной информации делаются цифровые слепки, которые потом ищутся в передаваемой информации, применяются системы оптического распознавания символов, запрещается отправка архивов с паролем, контролируются почтиовые ящики получателей по белому списку, устанавливаются клиенты DLP на машины пользователей, которые на этапе подготовки документа распознают ИКХ…
Это перефразированный фрагмент интервью Рэя Брэдбери: "…люди — идиоты. Они сделали кучу глупостей: придумывали костюмы для собак, должность рекламного менеджера и штуки вроде iPhone, не получив взамен ничего, кроме кислого послевкусия. А вот если бы мы развивали науку, осваивали Луну, Марс, Венеру… Кто знает, каким был бы мир тогда? Человечеству дали возможность бороздить космос, но оно хочет заниматься потреблением: пить пиво и смотреть сериалы"
Ваше предложение хорошо согласуется с философией Unix, но к сожалению, и у неё есть обратные примеры:
Gnu/Emacs начинался как редактор, но его создатели встроили в него кучу разных функций. Они хотели, чтоб это был редактор, который можно программировать, но потом программистская часть выросла до невообразимых размеров и редактор стал настоящим кошмаром. В него входит все, кроме разве что кухонной раковины, именно поэтому кухонная раковина часто служит его значком. Программа известна как чудовищный монстр, который включает больше функций, чем в принципе может понадобиться редактору.
А мне показалось странным, что в ролике ни разу не упоминается Германия (не последняя европейская держава), Скандинавия, Африка (Древний Египет не в счёт), Россия (зато «Пражская весна» есть), Япония, Латинская Америка и т.д. Или это не целевые регионы для продаж Civ 6?
С развитием сетей поколения 4G средний трафик данных операторов мобильной связи вырос примерно до 10 Гб/с для одного отдельно взятого федерального округа. Это вам для начала расчётов.
Естественно, требования 152 ФЗ в части цели и объёма ПДн никто не отменял. Например, обработка в зарубежной ИСПДн данных из бумажных договоров, заключаемых на территории РФ (сформированных в базу данных ПДн) в полной мере отвечает этим требованиям, если используется форма договора установленного образца, объём ПДн определён и соответствует цели. При этом ст.12 будет выполнена (исполнение договора, стороной которого является субъект персональных данных). Более того, цитата из разъяснения Минсвязи: "Если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ."
Вопрос в другом: подобная однократная "локализация" ПДн в РФ показывает, насколько формальны некоторые требования закона.
Мы у себя пару проектов по bigdata для внешнего рынка потому и зарубили, что были ненулевые риски нарушения ЗПДн и ТС.
Очень интересно, как Сбер получает эти данные? Это же очень похоже на тайну связи…
Но потоки имеют свойство меняться или добавляться, поэтому правила должны успевать за ними, а в больших компаниях бизнес не всегда своевременно оповещает об этом безопасность. Вот тут-то и возникает лаг, который может привести к утечке информации.
Находятся, и ещё как. Некоторых не останавливает даже угроза уголовной ответственности.
Вообще, главная угроза в большинстве моделей безопасности — внутренний злоумышленник. Если информацию нужно украсть, то годаздо проще и зачастую дешевле подкупить нужного человека, чем искать уязвимости в системах и взламывать из :)
Вторая заповедь: все лгут. Самый дружный и сплочённый коллектив может очень быстро превратиться в банку с пауками. История знает множество примеров, когда лучшие друзья становились непримиримыми врагами из-за должности, денег, даже простого признания заслуг…
Защита информации на 75% состоит из работы с людьми. И это не «атмосфера стукачества», как вы выразились, которая на самоме деле только мешает работе, а нормальные человеческие отношения, когда нет ничего предосудительного в предупреждении о возникшей напряженности в коллективе,
На практике для чувствительной информации делаются цифровые слепки, которые потом ищутся в передаваемой информации, применяются системы оптического распознавания символов, запрещается отправка архивов с паролем, контролируются почтиовые ящики получателей по белому списку, устанавливаются клиенты DLP на машины пользователей, которые на этапе подготовки документа распознают ИКХ…
Вопрос в другом: подобная однократная "локализация" ПДн в РФ показывает, насколько формальны некоторые требования закона.