Как следует работать с DLP ? От рутины до судебного процесса
Информационная безопасность Информационная безопасность

Кто кому должен: обязанности компаний и сотрудников? Как регламентировать работу с конфиденциальной информацией? DLP-кейсы: почему компания может проиграть дело? Чек-лист: как оформлять данные из DLP для судебного разбирательства?

Главная>Информационная безопасность>DLP-отношения: от рабочей рутины до судебных процессов
Информационная безопасность Тема номера

DLP-отношения: от рабочей рутины до судебных процессов

Дата публикации:
30.09.2022
Посетителей:
908
Просмотров:
864
Время просмотра:
4.2 мин.

Авторы

Автор
Екатерина Краснова Эксперт центра информационной безопасности компании «Инфосистемы Джет»

 

Кто кому должен: обязанности компаний и сотрудников?


Как регламентировать работу с конфиденциальной информацией? 


DLP-кейсы: почему компания может проиграть дело?


Чек-лист: как оформлять данные из DLP для судебного разбирательства?

 

 

У всех сотрудников складываются разные отношения с корпоративным оборудованием. Кто-то рассуждает: «Рабочий день официально завершен, могу наконец (!) заняться своими делами: подобрать тур для отпуска, разослать друзьям фотки со дня рождения, еще нужно выбрать подарок брату. Почему бы не сделать это с корпоративного ноутбука?» Другие считают, что рабочий компьютер вполне может выручить при решении срочных личных вопросов: «Ведь в этом нет ничего такого». Третьи же предпочитают все личные дела, включая переписку в мессенджерах, вести только на собственных девайсах.

 

Какая модель является правильной с точки зрения распоряжения активами компании? Как «отношения» с ноутбуком могут обернуться против обычного сотрудника? Или не такой уж он и обычный?

 

У людей есть секреты, а у компаний — коммерческие тайны. Утечка такой информации может стоить репутации, финансовых потерь, обернуться гражданскими или уголовными процессами и даже крахом бизнеса. Защищать конфиденциальные данные помогают DLP-системы. Они собирают логи с нарушениями пользователей, блокируют передачу важной информации и фиксируют инциденты. В будущем все это можно использовать против сотрудников-нарушителей.

К слову, об уголовных делах

 

Одно из них было возбуждено в 2019 году в отношении двух сотрудников МТС, которые решили слить базу с телефонными номерами и адресами более 500 000 абонентов. Естественно, за вознаграждение. Служба кибербезопасности вовремя пресекла эти действия и передала данные расследования правоохранительным органам Новосибирска (Дело № 1-62/2019). В итоге нарушителям было выдвинуто обвинение по статье 183 УК РФ (часть 3): «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, причинившие крупный ущерб или совершенные из корыстной заинтересованности».

 

Судебная практика показывает: дела об утечках данных, зафиксированных при помощи DLP-систем или аналогичных решений, могут выиграть и работники, и работодатели. Критерии успеха зависят от множества факторов. Простой пример: дело об утечке информации, содержащей банковскую тайну, с корпоративной почты на личную (Дело №33-90/11). Инцидент зафиксировала DLP «Дозор-Джет». Компания хорошо подготовила материалы для суда: процесс использования системы был правильно задокументирован, служебное расследование оформлено, необходимые аргументы собраны. Но бизнесу не хватило прямых доказательств причастности сотрудника — что именно он был на рабочем месте в момент отправки письма. Теоретически это вполне можно доказать, но компания «не дожала». В итоге работник получил компенсацию (в том числе морального ущерба) и был восстановлен в должности. Кейс отлично показывает, насколько успех дела зависит от доказательной базы. Но об этом чуть позже. 

Количество новостей об утечках только растет. Персональные данные по-прежнему в цене. Одним из самых обсуждаемых инцидентов 2022 года стало февральское дело об утечке данных сервиса Яндекс Еда. Злоумышленники похитили базу с ФИО, адресами, телефонами и деталями заказов пользователей. Они опубликовали в сети карту с этими персональными данными. Сервису оставалось только пытаться остановить распространение и извиняться перед клиентами. После этого случая компания уменьшила число сотрудников, имеющих доступ к данным, провела аудиты безопасности и реализовала ряд мер по защите данных.
Весной на одном из форумов даркнета выставили на продажу огромную базу заказов медицинской компании «Гемотест». У 30,5 млн человек «слили» ФИО, адрес, дату рождения, серию и номер паспорта, адрес электронной почты, телефон и данные заказов. Кому будет приятно, если о твоем диагнозе узнали через интернет твои знакомые? От всех утечек обезопаситься на 100% нельзя. Но, подобно профилактике заболеваний, можно уменьшить эти риски. Установить ПО, которое будет отслеживать действия сотрудников на рабочих станциях, подписать с работниками соглашения о неразглашении, сформировать правила обращения с внутренней информацией, разграничить доступ к информации и провести ее категоризацию. Обучите сотрудников грамотному поведению при столкновении с фишинговыми сценариями мошенников. Настройте шифрование дисков ноутбука. И ваши данные будут защищены в случае их попадания к злоумышленнику.

 

Тайна должна остаться тайной


У каждой компании есть права и обязанности. Изначально правила «отношений» с ноутбуком, телефоном и другими корпоративными устройствами диктует работодатель. Он ссылается на федеральные законы и нормативные акты: «О коммерческой тайне» (№ 98-ФЗ), «О персональных данных» (№ 152-ФЗ), «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) и др. И, конечно, на трудовое законодательство. Компания имеет полное право закрепить во внутренних положениях запрет на использование корпоративного оборудования в личных целях и категоризировать данные на конфиденциальные, для служебного использования, коммерческую тайну и др.
Если в компании легализованы DLP-системы и другие аналогичные решения, работнику будет сложно отстоять мнение о незаконности мониторинга. Важный момент: знание о том, что процесс работы с информацией регламентирован, повышает общий уровень трудовой дисциплины, а значит, автоматически снижает риски инцидентов. Но при этом повышается вероятность умышленных преступлений. Зная, что он работает с ценной информацией, недобросовестный работник вполне может пойти на риск: к примеру, ради финансовой выгоды или если хочет отомстить.


С начала года количество громких дел, связанных с утечками персональных данных, заметно увеличилось. Как результат — в мае Минцифры России вывело на обсуждение новый закон. Он предполагает, что компаниям будут грозить оборотные штрафы: 1% от годового оборота за утечку персональных данных и 3% за сокрытие подобных кейсов. Это в очередной раз подчеркивает, что бизнес несет ответственность за данные сотрудников, клиентов и партнеров. Но какую ответственность несут при этом сотрудники?


Согласно статье 21 ТК РФ «Основные права и обязанности работника», сотрудник должен добросовестно исполнять обязанности, возложенные на него трудовым договором. Именно в нем и других нормативных документах компания должна зафиксировать, какая информация является чувствительной, и регламентировать ее использование.

Кейс

 

На предприятии был внедрен режим коммерческой тайны, вся конфиденциальная информация была категоризирована и хранилась на защищенных серверах. DLP-система выявила, что один из сотрудников скопировал более 3 000 файлов, в том числе с грифом «Для служебного пользования», на внешний носитель. Поскольку процесс работы с чувствительными данными был задокументирован и имелась четкая доказательная база нарушения, компания выиграла суд (Дело № 8Г-1197/2021).

 

Правильное регламентирование и поддержание режима коммерческой тайны (Федеральный закон от 29.07.2004 г. № 98-ФЗ) необходимы, чтобы в случае утечки компания могла доказать — эта информация имела особую ценность. Важно включить понятие и правила обращения с коммерческой тайной в должностные инструкции. Все физические носители с коммерческой тайной «на борту» должны быть помечены соответствующим грифом. Параллельно необходимо подписать NDA c сотрудниками и контрагентами и четко изложить, какие данные являются чувствительными и какие действия будут считаться нарушением.

 

Но вернемся к хранению и использованию личных данных сотрудников. «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»; «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения», — гласит статья 23 (ч. 1) Конституции РФ. Есть компании, которые лояльно относятся к обмену личной информацией на рабочем месте. Действительно ли работодателю интересна ваша личная переписка? Нет, это просто один из каналов, который может попадать под мониторинг. Никто не планирует за вами следить, цель системы — выявлять угрозы или факты утечки конфиденциальной информации. Она подобна киту, который процеживает воду в поисках планктона. Но этой «воды» можно избежать: для этого нужно ввести в трудовой договор и внутренние регламенты запрет на использование рабочего оборудования в личных целях (в том числе — ведение переписок). А также предупредить сотрудников о мониторинге рабочих станций, которые предназначены только для решения служебных задач. Причем мониторинг может включать фото- и видеосъемку человека и его рабочего места, запись логов, фиксацию электронной почты, съемных носителей, мессенджеров, облачных и локальных хранилищ, веб-трафика и др. Между частной и трудовой жизнью должна быть четкая грань — в этом случае ничьи конституционные права не будут нарушены.

 

Нужно проводить обучение для сотрудников (под роспись) и объяснять, как нужно обращаться с рабочими устройствами и информацией. Четко разъяснять принятые в компании правила обработки данных и санкции, которые будут применены в случае нарушений. После этого любой кейс использования оборудования в личных целях — это исключительно ответственность сотрудника. Если человек получит замечание, но ситуация повторится, внутренние документы помогут зафиксировать дисциплинарное нарушение согласно ТК РФ.

 

Работа — это место для служебного общения в интересах работодателя. Сотрудник не сможет доказать факт нарушения своих конституционных прав, если компания четко все регламентировала. Но и здесь, само собой, бывают исключения. Тем не менее, регламенты помогут, если вам придется отстаивать интересы компании в суде.

 

Если суда не избежать


Процесс сбора данных из DLP не так прост: и в части документальной фиксации инцидента, и в плане сбора доказательной базы. От этих факторов будет зависеть не только успех дела, но и принятие кейса на рассмотрение судом. Помочь в этом вопросе на этапе проектирования и администрирования DLP-системы могут ИТ-специалисты, квалифицированные в области информационного права.
Работодатели достаточно часто выигрывают суды. Например, одна из сотрудниц Фонда социального страхования заинтересовала внутреннюю службу безопасности (Дело № 2-11976/2014). Она отключила DLP-агент на своем рабочем компьютере. Собирала на нем конфиденциальные данные, причем официального доступа к ним у нее не было.

 

Распространяла и распечатывала внутренние документы. При этом в организации были четкие регламенты по обращению с конфиденциальной информацией. Суд посчитал доказательства достаточными и признал вину нарушительницы — она была уволена. Но нужно помнить, что в зависимости от характера нарушения (от тяжести последствий и категории информации, ушедшей за периметр компании) к человеку может быть применено как административное, так и уголовное наказание.

 

Если вы решили провести служебное расследование и планируете использовать в нем данные из DLP-системы, нужно учесть множество нюансов. Несколько обязательных шагов:

 

Шаг 1. Убедитесь, что ваша DLP-система сертифицирована ФСТЭК России.

Шаг 2. Зафиксируйте и подробно опишите инцидент.

Шаг 3. Сформируйте приказ о проведении внутреннего расследования. Важный момент: сотрудники, которые занимаются служебными расследованиями, должны иметь соответствующие полномочия.

Шаг 4. Потребуйте у сотрудника объяснений. Если он не согласится, составьте акт об отказе от дачи объяснений о случившемся.

Шаг 5. Соберите доказательства по свежим следам. Например, скриншоты или видео с камер наблюдения, показания свидетелей. Все доказательства нужно нотариально зафиксировать — это существенно повысит их вес в суде.

Шаг 6. Составьте акт по результатам расследования.

 

При соблюдении всех тонкостей DLP-cистема может стать ценным инструментом для предотвращения угроз и сбора доказательств против сотрудников-нарушителей. Но важно помнить, что внедрение DLP — это не разовый проект, а процесс, который нужно легализовать, поддерживать и модифицировать вместе с развитием компании. Далеко не все готовы заниматься этим самостоятельно, но есть специалисты, которые всегда могут прийти на помощь.

Можно внедрить несколько программных комплексов для мониторинга и выявления инцидентов, но база, с которой стоит начать, — это закрепление безопасности на бумаге. Именно этот шаг официально сделает DLP-систему вашим помощником в борьбе с угрозами.

Читайте также

Пара слов об XDR

Уведомления об обновлении тем – в вашей почте

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Активный аудит

Все связи на этой земле распались. И имена потеряли смысл. Остался лишь мир, полный угрозы, мир, лишенный имени и потому таивший в себе безымянные опасности, которые подстерегали тебя на каждом шагу. Опасности эти не обрушивались на человека ...

Философия защиты

В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

Positive Hack Days 11: как нынешний кризис повлиял на ситуацию с кадрами в ИБ

Почему сейчас нанимать ИБ-специалистов проще, чем три месяца назад? Зачем топ-менеджерам креативность? Усилится ли кадровый голод в обозримом будущем?

Кто виноват и что делать: о чем спорили участники форума DLP+

Как государство мотивирует бизнес защищать информацию клиентов? Кто должен нести ответственность за утечки? Что общего у производителей топоров и DLP-систем?

Сервер аутентификации Kerberos

Идентификация и проверка подлинности пользователей (аутентификация) — это основное средство защиты информационных систем от одной из главных угроз — постороннего вмешательства. Если у злоумышленника нет средств для нелегального доступа, возможности ...

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня