Практические аспекты борьбы с инсайдерами

Евгений Климов
начальник отдела информационной безопасности УК "Металлоинвест"

Международный опыт

В Великобритании в 2003 г. был принят Свод правил, дополняющих Акт о защите информации, расширительно трактующих право на защиту частной и семейной жизни, а также на защиту частной корреспонденции. Новые нормы четко прописывают "правила игры". В частности, работодатели должны доказывать, что контроль за служащими необходим для компании и нарушение баланса интересов обоснованно.

Одним из наиболее популярных направлений в области обеспечения ИБ предприятия является контроль за действиями сотрудника, или так называемая борьба с инсайдерами. В основном такой контроль осуществляется с помощью специализированных технологий DLP (Data Loss Prevention). Современные DLP-системы основываются на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При определении в потоке конфиденциальной информации срабатывает активная компонента защиты, и передача данных блокируется.

Распознавание конфиденциальных данных в DLP-системах осуществляется двумя способами: анализ "цифровых отпечатков" данных и анализ содержимого пересылаемой информации. Первый способ позволяет добиться высокой эффективности предотвращения утечки коммерческой тайны и минимального количества ложных срабатываний, однако требует предварительной классификации защищаемой информации и определенной формализации корпоративного документооборота. Второй способ дает ложные срабатывания, зато позволяет выявить утечку конфиденциальных, но еще не классифицированных данных. Обычно в "хороших" системах оба способа сочетаются.

Схема реализации защиты

Только с помощью внедрения DLP-систем невозможно выстроить эффективный процесс противодействия утечкам конфиденциальной информации. Это обусловлено целым рядом факторов, а именно: низкий уровень зрелости бизнес-процессов многих современных предприятий; невозможность включения в защищаемый периметр специализированных автоматизированных систем; нетривиальность процесса интеграции DLP-систем в корпоративную ИТ- и ИБ-инфраструктуру; существующие трудности с организацией обучения персонала, отвечающего за обслуживание системы, и т.п.

Эффективная система противодействия утечкам должна включать в себя проактивную компоненту (DLP), реактивную компоненту (архив событий) и функционал, позволяющий реализовать выборочный контроль в режиме реального времени (см. рисунок).

Проактивная компонента системы обеспечивает анализ потоков данных и предотвращение/фиксирование факта передачи конфиденциальной информации.

Реактивная компонента системы обеспечивает регистрацию и архивирование событий по основным каналам утечки данных (почта, Интернет, внешние носители, вывод на печать), а также предоставляет функционал для выборочного контроля действий сотрудников и расследования инцидентов.

Функция контроля действий сотрудников в режиме реального времени позволяет организовать целевой мониторинг и оперативное реагирование на попытки "выноса" коммерческой тайны.

Юридические аспекты

Вопрос легитимности внедрения систем контроля деятельности сотрудников является весьма неоднозначным. Статья 23 Конституции РФ гарантирует каждому гражданину право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ч. 1), а также право на тайну переписки, телефонных переговоров, почтовых, телеграфных  и   иных  сообщений (ч. 2), причем ограничение последнего допускается только на основании судебного решения.

Ответственность за нарушение прав граждан РФ на неприкосновенность частной жизни и тайну переписки определена в статьях 137 и 138 УК РФ и предусматривает наказание вплоть до ареста. Причем в статье 137 ("тайна частной жизни") наказание предусмотрено в случае, если не было получено соответствующего согласия частного лица, а в статье 138 ("тайна переписки") такого условия нет, т.е. право на тайну переписки, телефонных переговоров, почтовых и иных сообщений является неотчуждаемым. Существует мнение, что сотрудник не может отказаться от данного права, даже подписав соглашение, согласно которому он разрешает работодателю осуществлять контроль его служебной переписки.

Таким образом, реализация системы противодействия утечкам конфиденциальной информации является легитимной в случае, если гарантированно исключен доступ к частным сообщениям сотрудников, что представляется возможным только при использовании DLP-систем, основанных на "цифровых отпечатках" данных. Во всех остальных случаях существует риск привлечения к уголовной ответственности.

Противоречие

Современные системы контроля деятельности сотрудников позволяют реализовать эффективный процесс противодействия утечкам конфиденциальных данных, но легальность их внедрения и эксплуатации остается под вопросом по причине существования рисков привлечения к уголовной ответственности за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Выходом из ситуации может явиться совместная работа профессионального сообщества, регуляторов и участников рынка с целью определения "правил игры".