Как следует работать с DLP ? От рутины до судебного процесса
Информационная безопасность Информационная безопасность

Кто кому должен: обязанности компаний и сотрудников? Как регламентировать работу с конфиденциальной информацией? DLP-кейсы: почему компания может проиграть дело? Чек-лист: как оформлять данные из DLP для судебного разбирательства?

Главная>Информационная безопасность>DLP-отношения: от рабочей рутины до судебных процессов
Информационная безопасность Тема номера

DLP-отношения: от рабочей рутины до судебных процессов

Дата публикации:
30.09.2022
Посетителей:
1820
Просмотров:
2058
Время просмотра:
2.3

Авторы

Автор
Екатерина Краснова Эксперт центра информационной безопасности компании «Инфосистемы Джет»

 

Кто кому должен: обязанности компаний и сотрудников?


Как регламентировать работу с конфиденциальной информацией? 


DLP-кейсы: почему компания может проиграть дело?


Чек-лист: как оформлять данные из DLP для судебного разбирательства?

 

 

У всех сотрудников складываются разные отношения с корпоративным оборудованием. Кто-то рассуждает: «Рабочий день официально завершен, могу наконец (!) заняться своими делами: подобрать тур для отпуска, разослать друзьям фотки со дня рождения, еще нужно выбрать подарок брату. Почему бы не сделать это с корпоративного ноутбука?» Другие считают, что рабочий компьютер вполне может выручить при решении срочных личных вопросов: «Ведь в этом нет ничего такого». Третьи же предпочитают все личные дела, включая переписку в мессенджерах, вести только на собственных девайсах.

 

Какая модель является правильной с точки зрения распоряжения активами компании? Как «отношения» с ноутбуком могут обернуться против обычного сотрудника? Или не такой уж он и обычный?

 

У людей есть секреты, а у компаний — коммерческие тайны. Утечка такой информации может стоить репутации, финансовых потерь, обернуться гражданскими или уголовными процессами и даже крахом бизнеса. Защищать конфиденциальные данные помогают DLP-системы. Они собирают логи с нарушениями пользователей, блокируют передачу важной информации и фиксируют инциденты. В будущем все это можно использовать против сотрудников-нарушителей.

К слову, об уголовных делах

 

Одно из них было возбуждено в 2019 году в отношении двух сотрудников МТС, которые решили слить базу с телефонными номерами и адресами более 500 000 абонентов. Естественно, за вознаграждение. Служба кибербезопасности вовремя пресекла эти действия и передала данные расследования правоохранительным органам Новосибирска (Дело № 1-62/2019). В итоге нарушителям было выдвинуто обвинение по статье 183 УК РФ (часть 3): «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, причинившие крупный ущерб или совершенные из корыстной заинтересованности».

 

Судебная практика показывает: дела об утечках данных, зафиксированных при помощи DLP-систем или аналогичных решений, могут выиграть и работники, и работодатели. Критерии успеха зависят от множества факторов. Простой пример: дело об утечке информации, содержащей банковскую тайну, с корпоративной почты на личную (Дело №33-90/11). Инцидент зафиксировала DLP «Дозор-Джет». Компания хорошо подготовила материалы для суда: процесс использования системы был правильно задокументирован, служебное расследование оформлено, необходимые аргументы собраны. Но бизнесу не хватило прямых доказательств причастности сотрудника — что именно он был на рабочем месте в момент отправки письма. Теоретически это вполне можно доказать, но компания «не дожала». В итоге работник получил компенсацию (в том числе морального ущерба) и был восстановлен в должности. Кейс отлично показывает, насколько успех дела зависит от доказательной базы. Но об этом чуть позже. 

Количество новостей об утечках только растет. Персональные данные по-прежнему в цене. Одним из самых обсуждаемых инцидентов 2022 года стало февральское дело об утечке данных сервиса Яндекс Еда. Злоумышленники похитили базу с ФИО, адресами, телефонами и деталями заказов пользователей. Они опубликовали в сети карту с этими персональными данными. Сервису оставалось только пытаться остановить распространение и извиняться перед клиентами. После этого случая компания уменьшила число сотрудников, имеющих доступ к данным, провела аудиты безопасности и реализовала ряд мер по защите данных.
Весной на одном из форумов даркнета выставили на продажу огромную базу заказов медицинской компании «Гемотест». У 30,5 млн человек «слили» ФИО, адрес, дату рождения, серию и номер паспорта, адрес электронной почты, телефон и данные заказов. Кому будет приятно, если о твоем диагнозе узнали через интернет твои знакомые? От всех утечек обезопаситься на 100% нельзя. Но, подобно профилактике заболеваний, можно уменьшить эти риски. Установить ПО, которое будет отслеживать действия сотрудников на рабочих станциях, подписать с работниками соглашения о неразглашении, сформировать правила обращения с внутренней информацией, разграничить доступ к информации и провести ее категоризацию. Обучите сотрудников грамотному поведению при столкновении с фишинговыми сценариями мошенников. Настройте шифрование дисков ноутбука. И ваши данные будут защищены в случае их попадания к злоумышленнику.

 

Тайна должна остаться тайной


У каждой компании есть права и обязанности. Изначально правила «отношений» с ноутбуком, телефоном и другими корпоративными устройствами диктует работодатель. Он ссылается на федеральные законы и нормативные акты: «О коммерческой тайне» (№ 98-ФЗ), «О персональных данных» (№ 152-ФЗ), «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) и др. И, конечно, на трудовое законодательство. Компания имеет полное право закрепить во внутренних положениях запрет на использование корпоративного оборудования в личных целях и категоризировать данные на конфиденциальные, для служебного использования, коммерческую тайну и др.
Если в компании легализованы DLP-системы и другие аналогичные решения, работнику будет сложно отстоять мнение о незаконности мониторинга. Важный момент: знание о том, что процесс работы с информацией регламентирован, повышает общий уровень трудовой дисциплины, а значит, автоматически снижает риски инцидентов. Но при этом повышается вероятность умышленных преступлений. Зная, что он работает с ценной информацией, недобросовестный работник вполне может пойти на риск: к примеру, ради финансовой выгоды или если хочет отомстить.


С начала года количество громких дел, связанных с утечками персональных данных, заметно увеличилось. Как результат — в мае Минцифры России вывело на обсуждение новый закон. Он предполагает, что компаниям будут грозить оборотные штрафы: 1% от годового оборота за утечку персональных данных и 3% за сокрытие подобных кейсов. Это в очередной раз подчеркивает, что бизнес несет ответственность за данные сотрудников, клиентов и партнеров. Но какую ответственность несут при этом сотрудники?


Согласно статье 21 ТК РФ «Основные права и обязанности работника», сотрудник должен добросовестно исполнять обязанности, возложенные на него трудовым договором. Именно в нем и других нормативных документах компания должна зафиксировать, какая информация является чувствительной, и регламентировать ее использование.

Кейс

 

На предприятии был внедрен режим коммерческой тайны, вся конфиденциальная информация была категоризирована и хранилась на защищенных серверах. DLP-система выявила, что один из сотрудников скопировал более 3 000 файлов, в том числе с грифом «Для служебного пользования», на внешний носитель. Поскольку процесс работы с чувствительными данными был задокументирован и имелась четкая доказательная база нарушения, компания выиграла суд (Дело № 8Г-1197/2021).

 

Правильное регламентирование и поддержание режима коммерческой тайны (Федеральный закон от 29.07.2004 г. № 98-ФЗ) необходимы, чтобы в случае утечки компания могла доказать — эта информация имела особую ценность. Важно включить понятие и правила обращения с коммерческой тайной в должностные инструкции. Все физические носители с коммерческой тайной «на борту» должны быть помечены соответствующим грифом. Параллельно необходимо подписать NDA c сотрудниками и контрагентами и четко изложить, какие данные являются чувствительными и какие действия будут считаться нарушением.

 

Но вернемся к хранению и использованию личных данных сотрудников. «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»; «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения», — гласит статья 23 (ч. 1) Конституции РФ. Есть компании, которые лояльно относятся к обмену личной информацией на рабочем месте. Действительно ли работодателю интересна ваша личная переписка? Нет, это просто один из каналов, который может попадать под мониторинг. Никто не планирует за вами следить, цель системы — выявлять угрозы или факты утечки конфиденциальной информации. Она подобна киту, который процеживает воду в поисках планктона. Но этой «воды» можно избежать: для этого нужно ввести в трудовой договор и внутренние регламенты запрет на использование рабочего оборудования в личных целях (в том числе — ведение переписок). А также предупредить сотрудников о мониторинге рабочих станций, которые предназначены только для решения служебных задач. Причем мониторинг может включать фото- и видеосъемку человека и его рабочего места, запись логов, фиксацию электронной почты, съемных носителей, мессенджеров, облачных и локальных хранилищ, веб-трафика и др. Между частной и трудовой жизнью должна быть четкая грань — в этом случае ничьи конституционные права не будут нарушены.

 

Нужно проводить обучение для сотрудников (под роспись) и объяснять, как нужно обращаться с рабочими устройствами и информацией. Четко разъяснять принятые в компании правила обработки данных и санкции, которые будут применены в случае нарушений. После этого любой кейс использования оборудования в личных целях — это исключительно ответственность сотрудника. Если человек получит замечание, но ситуация повторится, внутренние документы помогут зафиксировать дисциплинарное нарушение согласно ТК РФ.

 

Работа — это место для служебного общения в интересах работодателя. Сотрудник не сможет доказать факт нарушения своих конституционных прав, если компания четко все регламентировала. Но и здесь, само собой, бывают исключения. Тем не менее, регламенты помогут, если вам придется отстаивать интересы компании в суде.

 

Если суда не избежать


Процесс сбора данных из DLP не так прост: и в части документальной фиксации инцидента, и в плане сбора доказательной базы. От этих факторов будет зависеть не только успех дела, но и принятие кейса на рассмотрение судом. Помочь в этом вопросе на этапе проектирования и администрирования DLP-системы могут ИТ-специалисты, квалифицированные в области информационного права.
Работодатели достаточно часто выигрывают суды. Например, одна из сотрудниц Фонда социального страхования заинтересовала внутреннюю службу безопасности (Дело № 2-11976/2014). Она отключила DLP-агент на своем рабочем компьютере. Собирала на нем конфиденциальные данные, причем официального доступа к ним у нее не было.

 

Распространяла и распечатывала внутренние документы. При этом в организации были четкие регламенты по обращению с конфиденциальной информацией. Суд посчитал доказательства достаточными и признал вину нарушительницы — она была уволена. Но нужно помнить, что в зависимости от характера нарушения (от тяжести последствий и категории информации, ушедшей за периметр компании) к человеку может быть применено как административное, так и уголовное наказание.

 

Если вы решили провести служебное расследование и планируете использовать в нем данные из DLP-системы, нужно учесть множество нюансов. Несколько обязательных шагов:

 

Шаг 1. Убедитесь, что ваша DLP-система сертифицирована ФСТЭК России.

Шаг 2. Зафиксируйте и подробно опишите инцидент.

Шаг 3. Сформируйте приказ о проведении внутреннего расследования. Важный момент: сотрудники, которые занимаются служебными расследованиями, должны иметь соответствующие полномочия.

Шаг 4. Потребуйте у сотрудника объяснений. Если он не согласится, составьте акт об отказе от дачи объяснений о случившемся.

Шаг 5. Соберите доказательства по свежим следам. Например, скриншоты или видео с камер наблюдения, показания свидетелей. Все доказательства нужно нотариально зафиксировать — это существенно повысит их вес в суде.

Шаг 6. Составьте акт по результатам расследования.

 

При соблюдении всех тонкостей DLP-cистема может стать ценным инструментом для предотвращения угроз и сбора доказательств против сотрудников-нарушителей. Но важно помнить, что внедрение DLP — это не разовый проект, а процесс, который нужно легализовать, поддерживать и модифицировать вместе с развитием компании. Далеко не все готовы заниматься этим самостоятельно, но есть специалисты, которые всегда могут прийти на помощь.

Можно внедрить несколько программных комплексов для мониторинга и выявления инцидентов, но база, с которой стоит начать, — это закрепление безопасности на бумаге. Именно этот шаг официально сделает DLP-систему вашим помощником в борьбе с угрозами.

Читайте также

Пара слов об XDR

Уведомления об обновлении тем – в вашей почте

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

Руководство по информационной безопасности

В 1992 году Указом Президента Российской Федерации вместо существовавшей около 20 лет Государственной технической комиссии СССР была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) — ...

Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Новая версия DLP-системы Дозор-Джет - что же нового?

Какие изменения содержит в себе 28-й релиз комплекса защиты от утечек информации «Дозор-Джет»?

Дополнение к руководству по информационной безопасности предприятия: как выбирать поставщика интернет-услуг

Данное Дополнение к Руководству по информационной безопасности предприятия (см. также Jet Info, 1996, 10-11 – прим. перев.) призвано служить для широкой Интернет-общественности контрольным перечнем при обсуждении вопросов информационной ...

DLP – зачем нам это нужно

Как обосновать необходимость DLP-системы для бизнеса – наш опыт

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Как сотрудники компаний относятся к биометрии: исследование «Инфосистемы Джет»

Отечественный бизнес все чаще использует биометрические данные для идентификации сотрудников. Мы провели исследование и выяснили отношение россиян к этой тенденции.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня