Сегодня хотелось бы еще раз поднять такую важную тему, как легитимность внедрения систем для защиты от утечек информации. Прекрасно, когда компания задумывается о сохранности своих информационных активов и внедряет DLP-решение. Но если этому внедрению не сопутствует юридическое оформление, часть функций DLP просто «отваливается». Компания не сможет использовать данные DLP в суде против сотрудника, виновного в разглашении конфиденциальной информации (а может и пострадать от иска самого сотрудника, например). Сегодняшний небольшой материал рассказывает, как этого избежать и где «подстелить солому».
В соответствии с ТК РФ, 98-ФЗ, 152-ФЗ и пр., функционирование DLP в организации включает несколько аспектов, требующих юридического оформления. Сразу оговоримся, что список документов, который мы даем ниже, несколько избыточен. Если каких-то регламентов у вас нет, это может быть не смертельно. Но у нас за годы работы в этой сфере сложилось мнение, что сопроводительных документов много не бывает, особенно если компании предстоит судиться с сотрудником, «слившим» конфиденциальные данные.
Еще один важны момент – большинство регламентов и положений требует подписи сотрудника, который либо выступает в качестве одной из сторон соглашения, либо подтверждает ознакомление с содержанием документа. Поэтому к работе над юридическим оформлением внедрения DLP необходимо привлекать HR-отдел и, естественно, юристов.
Информация ограниченного доступа
Прежде всего, надо понимать, что конфиденциальными данными является не то, что компания хотела бы держать в секрете, а то, что формально закреплено в качестве информации ограниченного доступа. К информации ограниченного доступа относятся персональные данные, коммерческая, служебная, профессиональная тайна, сведения о сущности изобретения и пр. Поэтому первым шагом компания должна определить и документировать перечень информации ограниченного доступа, с которым сотрудники должны быть ознакомлены под роспись. Документы, которые понадобятся на данном этапе:
- Перечень информации ограниченного доступа.
- Перечень лиц, допущенных к обработке информации ограниченного доступа.
- Положения об обработке и защите информации ограниченного доступа (ПДн, КТ и пр.).
- Приказы о введении режима защиты информации (особенно КТ).
Разглашение информации ограниченного доступа
Теперь, когда мы выяснили, какую информацию будем защищать, и кто имеет к ней легитимный доступ, можно перейти непосредственно к вопросам ее возможного разглашения. В первую очередь, необходимо сформировать документы, в явном виде запрещающие разглашение сотрудниками информации ограниченного доступа, ставшей им известной в связи с исполнением трудовых обязанностей. Такой запрет должен быть прописан в документах двух типов: общие регламенты компании и документах, касающихся режима защиты информации.
Общие:
- Трудовой договор.
- Правила внутреннего трудового распорядка.
- Должностная инструкция работника.
- Положение о подразделении работника.
- Дополнительные соглашения с работником.
Режим защиты информации:
- Документы, содержащие положения и процедуры ИБ: общая политика ИБ, парольная защита, контроль доступа, защита от вредоносного ПО, допустимое использование ИС и сервисов (в т.ч. сеть Интернет и корпоративная почта), мониторинг и контроль, управление инцидентами, обучение и повышение осведомленности и пр.
- Инструкции пользователям информационных систем, сервисов и средств защиты информации.
Этот список документов можно считать опорным и при формировании положений, перечисленных ниже в статье.
Далее, как мы понимаем, запрет ничего не стоит, если не прописана ответственность за его нарушение. Лица, разгласившие информацию ограниченного доступа, могут привлекаться к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в порядке, установленном законодательством Российской Федерации. И, в частности, напомню, что разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, является основанием для увольнения сотрудника по инициативе работодателя (ТК РФ, статья 81, пункт 6в).
Правила обработки/защиты информации и использование средств мониторинга
Следующим шагом необходимо составить локальные нормативные акты, определяющие правила обработки и защиты информации ограниченного доступа. Сотрудники должны быть ознакомлены с ними под роспись, и мы рекомендуем компаниям хранить копии журналов ознакомления.
Сотрудники должны знать (т.е. опять-таки расписаться в ознакомлении), что исполнение этих правил, как и использование корпоративных средств обработки информации, контролируется с использованием средств мониторинга.
Также не лишними будут следующие документы:
- Отчеты и планы по обучению/инструктажу работников.
- Копия журналов по обучению и повышению осведомленности работников по вопросам обработки и защиты информации.
Личная информация на корпоративных ресурсах
Отдельно должны быть прописаны все правила, касающиеся личной информации сотрудников, ее хранения и передачи с использованием корпоративных ресурсов.
- Запрещено хранить личную информацию на корпоративных устройствах.
- Корпоративные каналы связи и средства обработки информации должны использоваться работниками исключительно для служебных (производственных) целей.
- Работникам запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (корпоративная электронная почта, сеть Интернет и другие).
Подразделение информационной безопасности
Обязанности безопасников тоже должны быть регламентированы и прописаны в положении о подразделении ИБ и должностных инструкциях его сотрудников. Как минимум, в список входят контроль соблюдения правил обработки и защиты информации ограниченного доступа и реагирование на инциденты информационной безопасности.
DLP-система
Система защиты информации должна соответствовать актуальным для компании угрозам, а также требованиям и рекомендациям регулирующих органов (Роскомнадзор, ФСБ России, ФСТЭК России). Что поможет офицеру безопасности подтвердить это:
- Выписка из Модели угроз и Модели нарушителя.
- Выписка из ТЗ и ТП на систему защиты.
- Справка о DLP системе (функционал и сертификаты).
- Отчеты об аудитах и проверках ИБ, копии аттестатов соответствия.
На этом все. Если статья была полезной, можем продолжить и рассказать, как юридически корректно уволить внутреннего злоумышленника и что делать, если сотрудник разгласил информацию ограниченного доступа, и вы решили идти в суд.
Комментарии (13)
pyrk2142
14.08.2017 14:35+1Возможно, вопрос довольно странный, но я не очень знаком с практическим применением таких систем. Например, сотрудник что-то утащил, компания собирается идти в суд с отчетом от этой системы, верно? Как она может доказать, что этот отчёт настоящий, а не просто напечатан (если такой вариант возможен) или подделан (чтобы подставить сотрудника)?
SolarSecurity Автор
14.08.2017 15:18Если возникает вопрос о подлинности логов системы, суд опирается на заключение экспертов. Изымаются серверы, производится анализ, и эксперты говорят, логи это из DLP или чье-то творчество в условном ворде.
pyrk2142
14.08.2017 15:48Спасибо. Хотя все ещё остаётся вопрос о возможности обмана системы самой компанией. Тогда одна экспертиза говорит, что это могут быть логи из DPL, а другая экспертиза говорит, что нет явных оснований считать, что действия совершены конкретно обвиняемым. Как мне кажется, это звучит немного странно, но это возможно в теории.
SolarSecurity Автор
14.08.2017 15:54нет явных оснований считать, что действия совершены конкретно обвиняемым
Да, это справедливое замечание, логируются, строго говоря, действия не человека, а учетной записи. Для этого и составляются различные регламенты по процедурам и политикам ИБ. Человек должен расписаться, что он обязуется никому не передавать свой пароль от учетной записи, что он несет ответственность за действия, осуществляемые из-под его аккаунта и т.д.imanushin
14.08.2017 18:58+3Человек должен расписаться, что он обязуется никому не передавать свой пароль от учетной записи, что он несет ответственность за действия, осуществляемые из-под его аккаунта и т.д.
А какая риторика юриста компании, если сотрудник скажет, что он этого не делал, его взломали или подставили (например, как минимум системный администратор может это сделать)?
Изымаются серверы, производится анализ, и эксперты говорят, логи это из DLP
То есть в суде экспертам дадут код DLP, они его проанализируют полностью, поймут, как он работал на конкретно заданной машине в конкретно заданный момент времени (т.е. с учетом других запущенных приложений, с учетом обновлений ОС и пр.), а потом смогут четко сказать, что это лог именно программы? Звучит, как фантастика, с технической точки зрения.
И еще вопросы по поводу DLP:
- Какие гарантии производитель дает организации-заказчику? Т.е. если данные утекли мимо DLP программы, то какая компенсация предусмотрена?
- Как вы ловите утечки через DNS/IP туннели, передача информаций с помощью звуковых разъемов и т.д.?
- Как защищают DLP решения от подделки логов, т.е. какая защита от того, что один сотрудник может скомпрометировать другого сотрудника? Какую ответственность несет производитель DLP решения, если такое произошло?
vilgeforce
http://solarsecurity.ru/bitrix/redirect.php?goto=http://ya.ru — передавайте приветы вашим одминам/сайтостроителям. А заодно Битриксу.
SolarSecurity Автор
Спасибо, сейчас поправим.