DLP и Закон: как правильно оформить внедрение системы для защиты от утечек

  • Tutorial


Сегодня хотелось бы еще раз поднять такую важную тему, как легитимность внедрения систем для защиты от утечек информации. Прекрасно, когда компания задумывается о сохранности своих информационных активов и внедряет DLP-решение. Но если этому внедрению не сопутствует юридическое оформление, часть функций DLP просто «отваливается». Компания не сможет использовать данные DLP в суде против сотрудника, виновного в разглашении конфиденциальной информации (а может и пострадать от иска самого сотрудника, например). Сегодняшний небольшой материал рассказывает, как этого избежать и где «подстелить солому».

В соответствии с ТК РФ, 98-ФЗ, 152-ФЗ и пр., функционирование DLP в организации включает несколько аспектов, требующих юридического оформления. Сразу оговоримся, что список документов, который мы даем ниже, несколько избыточен. Если каких-то регламентов у вас нет, это может быть не смертельно. Но у нас за годы работы в этой сфере сложилось мнение, что сопроводительных документов много не бывает, особенно если компании предстоит судиться с сотрудником, «слившим» конфиденциальные данные.

Еще один важны момент – большинство регламентов и положений требует подписи сотрудника, который либо выступает в качестве одной из сторон соглашения, либо подтверждает ознакомление с содержанием документа. Поэтому к работе над юридическим оформлением внедрения DLP необходимо привлекать HR-отдел и, естественно, юристов.

Информация ограниченного доступа


Прежде всего, надо понимать, что конфиденциальными данными является не то, что компания хотела бы держать в секрете, а то, что формально закреплено в качестве информации ограниченного доступа. К информации ограниченного доступа относятся персональные данные, коммерческая, служебная, профессиональная тайна, сведения о сущности изобретения и пр. Поэтому первым шагом компания должна определить и документировать перечень информации ограниченного доступа, с которым сотрудники должны быть ознакомлены под роспись. Документы, которые понадобятся на данном этапе:

  • Перечень информации ограниченного доступа.
  • Перечень лиц, допущенных к обработке информации ограниченного доступа.
  • Положения об обработке и защите информации ограниченного доступа (ПДн, КТ и пр.).
  • Приказы о введении режима защиты информации (особенно КТ).

Разглашение информации ограниченного доступа


Теперь, когда мы выяснили, какую информацию будем защищать, и кто имеет к ней легитимный доступ, можно перейти непосредственно к вопросам ее возможного разглашения. В первую очередь, необходимо сформировать документы, в явном виде запрещающие разглашение сотрудниками информации ограниченного доступа, ставшей им известной в связи с исполнением трудовых обязанностей. Такой запрет должен быть прописан в документах двух типов: общие регламенты компании и документах, касающихся режима защиты информации.

Общие:

  • Трудовой договор.
  • Правила внутреннего трудового распорядка.
  • Должностная инструкция работника.
  • Положение о подразделении работника.
  • Дополнительные соглашения с работником.

Режим защиты информации:

  • Документы, содержащие положения и процедуры ИБ: общая политика ИБ, парольная защита, контроль доступа, защита от вредоносного ПО, допустимое использование ИС и сервисов (в т.ч. сеть Интернет и корпоративная почта), мониторинг и контроль, управление инцидентами, обучение и повышение осведомленности и пр.
  • Инструкции пользователям информационных систем, сервисов и средств защиты информации.

Этот список документов можно считать опорным и при формировании положений, перечисленных ниже в статье.

Далее, как мы понимаем, запрет ничего не стоит, если не прописана ответственность за его нарушение. Лица, разгласившие информацию ограниченного доступа, могут привлекаться к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в порядке, установленном законодательством Российской Федерации. И, в частности, напомню, что разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, является основанием для увольнения сотрудника по инициативе работодателя (ТК РФ, статья 81, пункт 6в).

Правила обработки/защиты информации и использование средств мониторинга


Следующим шагом необходимо составить локальные нормативные акты, определяющие правила обработки и защиты информации ограниченного доступа. Сотрудники должны быть ознакомлены с ними под роспись, и мы рекомендуем компаниям хранить копии журналов ознакомления.

Сотрудники должны знать (т.е. опять-таки расписаться в ознакомлении), что исполнение этих правил, как и использование корпоративных средств обработки информации, контролируется с использованием средств мониторинга.

Также не лишними будут следующие документы:

  • Отчеты и планы по обучению/инструктажу работников.
  • Копия журналов по обучению и повышению осведомленности работников по вопросам обработки и защиты информации.

Личная информация на корпоративных ресурсах


Отдельно должны быть прописаны все правила, касающиеся личной информации сотрудников, ее хранения и передачи с использованием корпоративных ресурсов.

  • Запрещено хранить личную информацию на корпоративных устройствах.
  • Корпоративные каналы связи и средства обработки информации должны использоваться работниками исключительно для служебных (производственных) целей.
  • Работникам запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (корпоративная электронная почта, сеть Интернет и другие).

Подразделение информационной безопасности


Обязанности безопасников тоже должны быть регламентированы и прописаны в положении о подразделении ИБ и должностных инструкциях его сотрудников. Как минимум, в список входят контроль соблюдения правил обработки и защиты информации ограниченного доступа и реагирование на инциденты информационной безопасности.

DLP-система


Система защиты информации должна соответствовать актуальным для компании угрозам, а также требованиям и рекомендациям регулирующих органов (Роскомнадзор, ФСБ России, ФСТЭК России). Что поможет офицеру безопасности подтвердить это:

  • Выписка из Модели угроз и Модели нарушителя.
  • Выписка из ТЗ и ТП на систему защиты.
  • Справка о DLP системе (функционал и сертификаты).
  • Отчеты об аудитах и проверках ИБ, копии аттестатов соответствия.

На этом все. Если статья была полезной, можем продолжить и рассказать, как юридически корректно уволить внутреннего злоумышленника и что делать, если сотрудник разгласил информацию ограниченного доступа, и вы решили идти в суд.
Метки:
Solar Security 214,14
Безопасность по имени Солнце
Поделиться публикацией
Комментарии 13
  • +5
    http://solarsecurity.ru/bitrix/redirect.php?goto=http://ya.ru — передавайте приветы вашим одминам/сайтостроителям. А заодно Битриксу.
  • +1
    Возможно, вопрос довольно странный, но я не очень знаком с практическим применением таких систем. Например, сотрудник что-то утащил, компания собирается идти в суд с отчетом от этой системы, верно? Как она может доказать, что этот отчёт настоящий, а не просто напечатан (если такой вариант возможен) или подделан (чтобы подставить сотрудника)?
    • 0
      Если возникает вопрос о подлинности логов системы, суд опирается на заключение экспертов. Изымаются серверы, производится анализ, и эксперты говорят, логи это из DLP или чье-то творчество в условном ворде.
      • 0
        Спасибо. Хотя все ещё остаётся вопрос о возможности обмана системы самой компанией. Тогда одна экспертиза говорит, что это могут быть логи из DPL, а другая экспертиза говорит, что нет явных оснований считать, что действия совершены конкретно обвиняемым. Как мне кажется, это звучит немного странно, но это возможно в теории.
        • 0
          нет явных оснований считать, что действия совершены конкретно обвиняемым

          Да, это справедливое замечание, логируются, строго говоря, действия не человека, а учетной записи. Для этого и составляются различные регламенты по процедурам и политикам ИБ. Человек должен расписаться, что он обязуется никому не передавать свой пароль от учетной записи, что он несет ответственность за действия, осуществляемые из-под его аккаунта и т.д.
          • +3
            Человек должен расписаться, что он обязуется никому не передавать свой пароль от учетной записи, что он несет ответственность за действия, осуществляемые из-под его аккаунта и т.д.

            А какая риторика юриста компании, если сотрудник скажет, что он этого не делал, его взломали или подставили (например, как минимум системный администратор может это сделать)?


            Изымаются серверы, производится анализ, и эксперты говорят, логи это из DLP

            То есть в суде экспертам дадут код DLP, они его проанализируют полностью, поймут, как он работал на конкретно заданной машине в конкретно заданный момент времени (т.е. с учетом других запущенных приложений, с учетом обновлений ОС и пр.), а потом смогут четко сказать, что это лог именно программы? Звучит, как фантастика, с технической точки зрения.


            И еще вопросы по поводу DLP:


            • Какие гарантии производитель дает организации-заказчику? Т.е. если данные утекли мимо DLP программы, то какая компенсация предусмотрена?
            • Как вы ловите утечки через DNS/IP туннели, передача информаций с помощью звуковых разъемов и т.д.?
            • Как защищают DLP решения от подделки логов, т.е. какая защита от того, что один сотрудник может скомпрометировать другого сотрудника? Какую ответственность несет производитель DLP решения, если такое произошло?
            • 0
              А какая риторика юриста компании, если сотрудник скажет, что он этого не делал, его взломали или подставили (например, как минимум системный администратор может это сделать)?

              Как минимум, есть данные СКУД, показания коллег и пр. DLP логирует не только факт, но и время инцидента.
              То есть в суде экспертам дадут код DLP, они его проанализируют полностью, поймут, как он работал на конкретно заданной машине в конкретно заданный момент времени (т.е. с учетом других запущенных приложений, с учетом обновлений ОС и пр.), а потом смогут четко сказать, что это лог именно программы? Звучит, как фантастика, с технической точки зрения.

              Нет, код, разумеется, никто не даст, он и не нужен. Речь не логах работы самого решения, а о логировании действий пользователей. Эти логи хранятся в системе, и они не зависят от окружения.
              • 0
                Какие гарантии производитель дает организации-заказчику? Т.е. если данные утекли мимо DLP программы, то какая компенсация предусмотрена?
                Гарантий никто не дает. Информация может пройти мимо DLP, это не секрет. Если Вы узнаете о предстоящем слиянии Uber и Яндекс.Такси и посоветуете друзьям срочно покупать акции «Яндекса», это будет утечка. Но техническими мерами предотвратить такое пока нельзя.

                Как вы ловите утечки через DNS/IP туннели, передача информаций с помощью звуковых разъемов и т.д.?
                Конкретно Solar Dozor контролирует утечки через каналы, где невозможно снятие копии трафика с помощью скриншотов экрана. В некоторых решениях стоит кейлоггер. Через звуковые разъемы — никак. Некоторые заявляют о контроле голосовых сообщений, но там пока остается вопрос качества распознавания речи.

                Как защищают DLP решения от подделки логов, т.е. какая защита от того, что один сотрудник может скомпрометировать другого сотрудника? Какую ответственность несет производитель DLP решения, если такое произошло?
                Это технически нереализуемо (по крайней мере, в известных нам DLP-решениях).
                • –1
                  Всё очень просто — суд априори уверен, что доказательства подлинны. И никакие технические нюансы тут никого не волнуют. А если тебя взломали, то виноват всё равно ты (Бумажку подписал же? Вот и отвечай за хакеров теперь). Ничего и никому вы не докажете, если есть установка посадить. Богатов вон, тоже был уверен, что не виноват…
        • +1
          Самое интересное что статья ни о чем. Описаны действия для введения режима коммерческой тайны очень условно, но это никак не объясняет введения DLP — системы. А где фраза о том, что работник согласен, что все его действия в системе логгируются? Да он встречный иск подаст в этом же суде и скажет, что Вы шпионили за ним, незаконно собирали о нем информацию, хотя он Вам не давал на это разрешения. Необходимо наверное, как минимум взять с него подписку, о том, что он не возражает в проведении в отношении его периодической проверки, описать суть проверки кратко и размыто и ОБЯЗАТЕЛЬНО — подпись его проставить под этим. Документов бы добавил для описания самого принципа работы DLP системы, чтобы в случае проверки проверяющим давать такой документ и сами специалисты понимали что им с этой DLPсистемой делать.
          Извините, но считаю, что Ваш труд не закончен и описан неполно.
          • 0
            Сотрудники должны знать (т.е. опять-таки расписаться в ознакомлении), что исполнение этих правил, как и использование корпоративных средств обработки информации, контролируется с использованием средств мониторинга.


            Цели детально описать введение режима КТ не было, статья более общей направленности. Проблема с юридическим сопровождением DLP не в том, что люди не знают, как оформить КТ, а в том, что многие до сих пор не знают, что что-то вообще надо оформлять, что надо прописать в регламентах, о чем уведомить сотрудников и т.д.
            • 0
              Ну что ходить во круг да около, цель порекламировать данный продукт, слегка прикрыть общей информацией. Очередной мыльный пост.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое