КиберОценка

7.5: Предотвращение утечки информации

Применение мер защиты от утечки информации

Подробное описание

Контроль 7.5 направлен на предотвращение несанкционированной передачи конфиденциальной информации за пределы защищённого периметра организации. Меры защиты от утечек включают технические средства контроля каналов передачи данных (DLP-системы), организационные процедуры работы с информацией ограниченного доступа и регулярный мониторинг информационных потоков. Для кредитных организаций это особенно критично в контексте требований 161-П ЦБ РФ и 152-ФЗ о защите персональных данных клиентов и сведений, составляющих банковскую тайну.

Практические шаги внедрения

  1. 1

    Провести классификацию информационных активов с присвоением грифов конфиденциальности (открытая, внутренняя, конфиденциальная, банковская тайна)

  2. 2

    Внедрить DLP-систему для контроля передачи данных через email, веб, съёмные носители, мессенджеры и облачные сервисы

  3. 3

    Настроить политики блокировки или уведомления при попытке передачи конфиденциальных данных (номера карт, ПДн, коммерческая тайна)

  4. 4

    Внедрить маркировку документов и файлов с конфиденциальной информацией (водяные знаки, метаданные, цифровые отпечатки)

  5. 5

    Организовать мониторинг действий привилегированных пользователей и сотрудников с доступом к критичным данным (SIEM, PAM)

  6. 6

    Разработать регламент работы с конфиденциальной информацией, включая правила печати, копирования и передачи третьим лицам

  7. 7

    Проводить периодические проверки эффективности средств защиты от утечек (тестовые рассылки с имитацией конфиденциальных данных)

Типичные нарушения

  • Отсутствие технических средств контроля передачи данных — сотрудники свободно пересылают базы клиентов и финансовую отчётность через личную почту

  • DLP-система установлена, но не настроена под специфику банковской информации (не распознаёт номера счетов, БИК, СНИЛС в нестандартных форматах)

  • Мониторинг срабатываний DLP не организован — инциденты фиксируются в системе, но не анализируются службой ИБ

  • Отсутствие контроля съёмных носителей — USB-порты не заблокированы, сотрудники копируют конфиденциальные файлы на личные флешки

  • Не проводится расследование инцидентов утечки — при обнаружении передачи конфиденциальных данных не выясняются причины и не принимаются корректирующие меры

Почему это важно

Утечка банковской тайны или персональных данных клиентов влечёт штрафы ЦБ РФ до 1% капитала (ст. 74 закона о ЦБ), административную ответственность по ст. 13.11, 13.14 КоАП (до 500 тыс. руб.), а также репутационные потери и отток клиентов. Для кредитных организаций контроль утечек — обязательное требование 382-П и 683-П ЦБ РФ, невыполнение которого может привести к ограничениям лицензии. Своевременное обнаружение попыток передачи критичных данных позволяет предотвратить инсайдерские инциденты и атаки с использованием социальной инженерии.

Проверяемые категории

Information DisclosureCode LeakData Localization

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности