Подход Microsoft и его соответствие требованиям Российского законодательства и стандарту Банка России по информационной безопасности Иванов Андрей RTO Microsoft

2 Развитие бизнеса компании через инновационные технологические программы для Российского рынка Вклад в основные продукты Синхронизация с основными отраслевыми приоритетами Адоптация существующих технологий Взаимодействие с экосистемой Долгосрочная перспектива Краткосрочная перспектива КорпорацияРоссия

Необходимость защиты ПД Методики Инструменты Пример из жизни Выводы

В соответствие с DataLossDB, a некоммерческой организаций которая отслеживает инциденты, связанные с потерей информации, содержащую персональные данные, в 2007 году по всему миру были скомпрометированы по меньшей мере 162 миллиона записей, содержащих персональные данные. При этом годом ранее, в 2006-м, эта цифра была чуть больше 50 миллионов Более чем 218 миллионов записей, содержащих персональные данные были скомпрометированы в 436 инцидентах 2009 года Источник:

June 2009 report by the School of Information at UC Berkeley shows that consumers want control over how their personal information is collected, with whom it is shared, and how it is used by the parties involved.8 This represents a significant departure from the way many organizations have viewed customer dataas something the organization owns and can therefore exploit as they see fit. Enlightened organizations now appreciate that certain personal data is placed in their trust by customers, and that such trust has significant business value.

Июньский отчет 2009 года школы информации калифорнийского университета свидетельствует о том, что современные субъекты персональных данных хотят знать: Как собираются их персональные данные Кто имеет к ним доступ Как и в каких целях ПД обрабатываются каждым из объектом, вовлеченным в процесс обработки

At Microsoft, we believe that in order to deal effectively and efficiently with data confidentiality and privacy challenges, organizations must adopt a proactive stance, one in which they hold themselves accountable for: Appropriately protecting the security of customers and employees personal information, as well as the organizations intellectual property and trade secrets. Respecting, preserving, and enforcing customer choice and consent throughout the information lifecycle, particularly when it comes to deciding how personal information is used and distributed within and outside the organization.

Для обеспечения соответствия требованиям регуляторов, предъявляемым к защите ПД, организации должны занять проактивную позицию внутри себя и: Обеспечивать адекватную защиту ПД своих заказчиков, так и своих сотрудников, как обеспечивается защита внутренних конфиденциальных данных, коммерческой тайны. Уважать согласие заказчика на обработку его ПД и на всем протяжении жизненного цикла обработки ПД обеспечивать возможность получения информации о то том, как и кем ПД используются, распространяются внутри организации.

ФЗ 152. Закон о персональных данных СТО БР ИББС Data Protection Directive (DPD) 95/46/EC (EU members, Iceland, Norway, and Lichtenstein) Australias Privacy Act Argentinas Personal Data Protection Law Canadas Personal Information Protection and Electronic Documents Act (PIPEDA) USA Health Insurance Portability and Accountability Act (HIPAA) – for health-related PII Gramm-Leach-Bliley Act (GLBA) – for credit-related PII PCI DSS

The combination of business and technology-related challenges and the requirement to meet regulatory compliance obligations is not unique to the area of information security and privacy. Such combinations are common in areas such as enterprise risk management, finance, operational risk management, and IT in general. An approach commonly known as governance, risk management, and compliance (GRC) has evolved to analyze risks and manage mitigation in alignment with business and compliance objectives. Governance ensures that the business focuses on core activities, clarifies who in the organization has the authority to make decisions, determines accountability for actions and responsibility for outcomes, and addresses how expected performance will be evaluated. All of this happens within a clearly defined context that might span a division, the entire organization, or a specific set of cross-discipline functions. Risk management is a systematic process for identifying, analyzing, evaluating, remedying, and monitoring risk. As a result of this process, an organization or group might decide to mitigate a risk, transfer it to another party, or assume the risk along with its potential consequences. Compliance generally refers to actions that ensure behavior that complies with established rules as well as the provision of tools to verify that compliance. It encompasses compliance with laws as well the enterprises own policies, which in turn can be based on best practices. Compliance requirements are not static, and compliance efforts should not be either.

Необходимость соответствия устанавливаемым требованиям, конечно относится не только к области информационной безопасности. Подобные требования предъявляются и к сфере управления рисками предприятия, и к управлению финансами, и к ИТ в целом. Подход GRC развивался выработки процедур анализа рисков, которые бы учитывали бизнес стратегию и бизнес-цели, а также необходимость соответствия определенным требованиям Governence. Должно гарантировать, что бизнес фокусируется на главном. В целом, именно здесь происходит определени бизнес стратегии, выработки связанной корп- стратегии. Просиходит контроль над реализацией этих стратегий. Раздаются задачи подразделениеям и т.д Риск менеджмент. Системный процесс определения, анализа, оценки, исправления и мониторинга рисков. В результате орг-ция может решить снизить риск, передать его или принять. Compliance.В общем сводится к активностям, которые обепечивают гарантию, того что компания в целом соответсвует требованиям кк регуляторов, так и собсвтенным внутренним правилам (котрые могу диктоваться, например отраслевыми стандартами) Данная область не должна бысть статична – усилия по ее поддеркже должны прилагаться на постоянной основе

Персональные данные Коммерческая тайна Служебная тайна Банковская тайна Налоговая тайна Профессиональная тайна (предварительного следствия, судопроизводства, страхования, врачебная…) Иная тайна (усыновления, исповеди…)

Organizations are left with the daunting and increasingly expensive task of determining which rulesincluding geographically based and industry-specific onesapply to their national or globally dispersed activities. In some instances, they are forced to decide what constitutes a conflict between multiple compliance obligations and to determine how to address it. The issues are complex and depend on the type of data involved, the type of industry, where and how the data is collected, how it is used, and the residence of the individuals whose PII is collected.

Addressing these challenges requires a cross-disciplinary effort involving a varied list of playershuman resources, information technology, legal, business units, finance and othersto jointly devise solutions that address privacy and confidentiality in a holistic way. Data governance is one such approach that addresses many aspects of data management, including information privacy and security as well as compliance.

Для обеспечения соответствия установленным требованиям вместе с выполнением собственных правил необходимо вовлечение широкого списка игроков, в том числе: HR, IT, бизнес подразделения, финансы и т.д. Только при совместном подходе возможно разработать единую концепцую, удовлетворяющую существующим требованиям и обеспечивающую эффективное перестроение в случае изменения требований… Фреймоврк Управления данными – как раз является таким примером, который

Руководство по управлению данными от организации DAMA (Data Management Association) определяет следующие основные функции по управлению данными на предприятии: Управлению безопасностью данных (включает защиту конфиденциальной информации и соответствие существующим требованиям) Управление архитектурой данных Управление структурированными наборами данных Управление мастер данными и мета данными Управление качеством данных Управление хранилищами данных, аналитикой и отчетами Управление данными при разработке Управление неструктурированными данными Источник:

Основные цели DGPC (Data governance for Privacy, Confidentiality and Compliance): Защита данных организации от внутренних и внешних угроз компрометации ПД или нарушения конфиденциальности информации Гарантия соответствия законодательству, требованиям регуляторов, стандартам (в области данных) Документация подтверждений соответствия через определенные процессы

Many organizations wonder whether they truly need DGPC if they already have successful IT governance, a well-established control framework, and an effective information security management system (ISMS) and are currently meeting their compliance obligations. The answer to this question is directly related to the discussion in the previous section: Compliance is commonly and narrowly understood to be about meeting requirementschecking boxes, so to speak. Good data governance enables compliance in a changing regulatory landscape and takes into account changes in the organizations own business goals and objectives. Data governance does not replace IT governance but complements it. To borrow an analogy commonly used by the data management community, IT governance focuses on the pipelinesthe organizations IT infrastructure. Data governance focuses on the waterthe data that flows through those pipelines. IT governance focuses on defining a portfolio of IT investments, setting performance objectives, and evaluating and managing risk for the IT infrastructure. It ensures alignment of those IT investments with the organizations mission and business goals, and it evaluates and manages organization-wide risks to the IT infrastructure. Data governance, on the other hand, focuses on creating a context that enables the organization to align data management efforts with business objectives, support regulatory compliance, and manage risks that are specific to the data itself. DGPC does not replace essential IT management and control tools, such as control frameworks like COBIT, the Microsoft Operations Framework (MOF), or security standards such as ISO/IEC 27001/27002 and PCI DSS. To use another analogy, security standards and control frameworks focus on the forest of information protection12that is, managing the risks related to the protection of the IT infrastructure and the information it contains. DGPC, on the other hand, focuses on the trees of information protectionon managing risks related to the specific data elements that the organization wants to protect, including personal information, intellectual property, trade secrets, and market data.

Защищает от конкретных атак Своевременно реагирует на угрозы Secure Infrastructure Защита данных от несанкционированного доступа Управление учетными записями и доступом Identity and Access Control Защита структурированных данных в БД Защита неструктурированной информации в документах, письмах и т.д. Автоматическая классификация данных Контроль доступа при копировании, отправке и т.д. Information Protection Проверка целостности данных Мониторинг соответствия требованиям Auditing and Reporting

ДоменТребования СТО БРТехнологии Secure Infrastructu re Общие положения стандарта – 7.3, 7.5, 7.6. Требования к обеспечению защиты ПД , 6.3.2, 6.3.5, AD Forefront (включая пункт 7.5.5) System Center VPN SDL Identity and Access Control Общие положения стандарта Требования к обеспечению защиты ПД Microsoft Identity and Access Management Series ADFS Information Protection Общие положения стандарта Требования к обеспечению защиты ПД FCI (File Classification Infrastructure) RMS (Right Management System) DLP (Data Loss Prevention) Auditing and Reporting Общие положения стандарта , 7.4.4, 7.5.8, 7.9.7, 8.12, 9 SCCM DCM Compliance Solution Accelerators Security Compliance Manager

Все продукты Майкрософт сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г: Windows 7 Pro, Ent, Ult * Windows Server 2008 и R2* (Std, Ent, DataCenter) Windows XP Professional русская версия Windows Vista русская версия Windows Server 2003 и R2 (Standard и Enterprise) русские версии SQL Server 2000 и SQL Server 2005 (Standard и Enterprise) русские версии Office 2003 и 2007 Standard, Professional, Plus русские версии ISA Server 2006 (Standard) русская версия Антивирусные продукты Forefront (Client, для Exchange и для SharePoint) – русские версии * - Соответствие закону о ПД (до 2 класса включительно)указано непосредственно в сертификате

32 Concept Plan Design Develop. Lifecycle Process/ Tools People Security Dev. Lifecycle Product Review Process Corp. Risk Management Trustworthy Computing Privacy Strategists (Policy, process, market and privacy knowledge) Legal Privacy SME (Legal privacy knowledge) Product group privacy champion (Product team and technology knowledge, with understanding of privacy)

33 Core training Analyze security and privacy risk Define quality gates Threat modeling Attack surface analysis Specify tools Enforce banned functions Static analysis Dynamic/ fuzz testing Verify threat models/ attack surface Response Response plan Final security review Release archive Response execution ReleaseVerificationImplementationDesignRequirementsTraining SDL has thirteen stages, and Privacy is considered in each

34

Требования к обеспечению безопасности ПД будут оставаться под постоянным контролем как со стороны регуляторов, так и со стороны субъектов ПД Microsoft предоставляет соответствующие документы и технологии, MS на постоянной основе сертифицирует все свои продукты во ФСТЭК Решения партнеров позволяют использовать Российскую криптографию

36 Product/Service Creation Product Sales & Mktg. Concept Plan Design Develop. Service Operation, S&M

37 NewValidationReviewRemediationComplete Archive/ Deliver Policy Assessment Read-Only for all and Stored with Supporting Documentation Status Updated to Archive Submit Assessment Notification – Team and all Policy Reviewers Assessment is Read-Only Except for Approver Status Updated to Remediate Submit Notification – Team and all Policy Reviewers Submit Assessment Status set to Validation Notification – Team and Initial Policy Reviewer (Typically Champ) Privacy Reviewers Assigned Based on Risk Rating Risk Rating Assigned Complete Assessment Assign Project Team Gather Project Information Optional Notification – PR/Outreach/ Legal Review Engagement Captured (Notes, Action Items, Supporting Docs) Submit Assessment Status Updated to Review Notification – Team and All Assigned Policy Reviewers BG Contact Confirms Accuracy Approval Status Updated Status Updated to Complete Submit Notification – Team and all Policy Reviewers Resolve Action Items Document Remediation Taken For Cloud Services only. Complete Annual Assessments. Obtain Independent Validations as Appropriate

Microsoft Privacy Policy Microsoft Privacy Standard for Development Security Development Lifecycle 38