Сотрудник на предприятии присутствует в двух ипостасях: как человек и как нанятый специалист со своими функциями. Как нанятый специалист он имеет обязанности по отношению к работодателю, и для их выполнения ему предоставлены технические и другие средства. Как человек он имеет личные интересы и связи, которые неприкосновенны, согласно законодательству, но не должны мешать работе. В соответствии с Трудовым кодексом, для того, чтобы не происходило смешения интересов, следует до начала сотрудничества обсудить с сотрудником границы личного и производственного, а также зафиксировать это в документах, о которых сотрудник должен быть в курсе (внутренний трудовой распорядок и пр.). Тогда вы сможете защитить свои права в конфликтной ситуации либо не попасть в нее. То же самое касается защиты коммерческой тайны. Для того чтобы получить защиту закона в случае нарушения ваших прав, следует предпринять ряд действий организационного и технического характера и оповестить о них сотрудников. Мы постарались затронуть все нюансы внедрения DLP и систем мониторинга.
Неприкосновенность частной жизни сотрудников
Сотрудники должны знать, что на предприятии установлена DLP-система или система мониторинга. Сведения о ней должны быть внесены в трудовые договоры и в правила внутреннего трудового распорядка. Если не использовать оповещение сотрудников, мы не сможем к ним применить никакие меры взыскания. Нужно прописать, что все ресурсы, которые используются в работе, являются собственностью работодателя, и использование их в личных целях запрещено. Тогда если сотрудник пользуется ими в личных целях, это становится его проблемой, кроме того, он подлежит дисциплинарному взысканию за нецелевое использование рабочих ресурсов или за нарушение правил трудового распорядка. Но мы должны не просто запретить, мы должны написать в инструкции, что мы анализируем и какие действия производим. Например, использование корпоративной почты в личных целях на предприятии запрещено, и за это могут последовать определенные санкции. Также должны быть прописаны правила разграничения доступа к защищаемой информации.
Нарушение тайны связи
Такой вопрос возникает, если мы перехватили личное послание сотрудника, в котором содержалась информация, составляющая коммерческую тайну. Согласно 126-ФЗ "О связи", если работодатель не является для своих сотрудников оператором связи, не предоставляет им услуги связи, а просто предоставляет оборудование, принадлежащее ему, для работы, то он не обязан обеспечивать тайну связи. Чтобы сотрудники не могли пожаловаться на нарушение тайны связи, в трудовом договоре и правилах внутреннего распорядка должно быть прописано, что рабочее оборудование принадлежит работодателю, и запрещается использовать его в личных целях. Если сотруднику для работы требуется учетная запись в каком-либо мессенджере, то выдача таких учетных записей с паролями должна быть регламентирована, сотрудник должен получать ее под личную ответственность и подтвердить получение ее личной подписью.
Требования закона о персональных данных
Одна из функций DLP-системы — препятствовать разглашению персональных данных. То есть она может быть одной из организационно-технических мер режима защиты персональных данных. Согласно 152-ФЗ "О защите персональных данных", персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных):
Как ввести в организации режим защиты персональных данных? Руководитель приказом назначает ответственного за обработку и защиту персональных данных. Ответственный готовит пакет документов, регламентирующих защиту персональных данных, решает вопрос, следует ли подавать уведомление в Роскомнадзор о внесении организации в реестр операторов персональных данных, в соответствии с 152-ФЗ "О защите персональных данных", и отвечает за применение организационных и технических мер по обеспечению безопасности персональных данных.
Защита коммерческой тайны
Чтобы эффективно пользоваться DLP-системой или системой мониторинга в вопросах информационной безопасности, должна быть разработана и внедрена соответствующая организационно-распорядительная документация, которая определяет понятие коммерческой тайны и очерчивает круг документов, имеющих отношение к коммерческой тайне. Режим коммерческой тайны считается внедренным при выполнении ст. 10 98-ФЗ ("О коммерческой тайне"). Если хотя бы один пункт будет не внедрен, компания не сможет защититься при разглашении коммерческой тайны.
Требования:
Внимание: имеются сведения, которые не могут составлять коммерческую тайну (98-ФЗ "О коммерческой тайне", ст. 5). Кроме того, не стоит включать в коммерческую тайну сведения, уже защищенные законом об авторском праве (ГК РФ, ст. 70) или патентами, свидетельствами на товарные знаки (знаки обслуживания), свидетельствами на программы для ЭВМ и базы данных.
Следует обратить особое внимание на ст. 81, п. 6 ТК РФ "Грубое правонарушение". Согласно этой статье, к грубым правонарушениям относится разглашение защищаемой законом информации: государственной, коммерческой, налоговой, банковской тайны и пр., разглашение персональных данных и пр. Это значит, что если сотрудник уличен в таких действиях, не нужно повторений и предупреждений. Вы имеете право уволить сотрудника с первого раза.
Данные DLP-системы как доказательство
На основании данных DLP-системы можно привлечь сотрудника к ответственности за нарушение режима коммерческой тайны или информационной безопасности, нарушение трудового распорядка, нарушение трудовой дисциплины. Важно всё сделать в строгом соответствии со ст. 193 Трудового кодекса РФ "Порядок применения дисциплинарных взысканий". Если не следовать процедуре наложения дисциплинарных взысканий, сотрудник может оспорить такие действия в суде, к тому же отсудит деньги у работодателя (потерянный доход).
Защита на случай проверок ФСТЭК, ФСБ, ЦБ РФ
Чтобы уверенно чувствовать себя на случай проверок государственных органов и регуляторов, нужно руководствоваться следующими нормативными документами:
Дополнительно:
Возмещение ущерба при противоправных действиях сотрудников
Согласно ст. 17 "Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации", п.2 149-ФЗ "Об информации, информационных технологиях и о защите информации", мы можем требовать с сотрудника возмещения убытков при нарушении информационной безопасности. Однако о возмещении убытков речь может идти только тогда, когда соблюдены все требования конфиденциальности информации: выполнены требования закона о коммерческой тайне, внедрены соответствующие инструкции об информации, являющейся коммерческой тайной, и о разграничении доступа к такой информации. Должно быть прописано, какие сотрудники имеют доступ к такой информации. Кроме того, на основании ст. 238, 243 ТК РФ взыскать мы можем только прямой ущерб. Упущенную выгоду взыскать по этим статьям не получится. Мера ОЦЛ 5 Приказа ФСТЭК №17 (для органов государственной власти) или №21 — для защиты конфиденциальной информации от утечки по каналам связи: Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы. Для использования этой меры нужно: а) прописать модель угроз; б) выделить актуальные угрозы утечки информации, в) сослаться на эту меру.
Выводы
Внедрение DLP затрагивает важные стороны работы компании. Для того чтобы оно было в правовом поле, нужно, во-первых, не выходить за рамки законодательства, во-вторых, интегрировать систему в информационную инфраструктуру компании. Это значит, что легитимное использование DLP должно опираться на внутренние документы и регламенты, такие как Положение о коммерческой тайне, Политика конфиденциальности, Политика в отношении персональных данных, кадровые документы и пр. Для того чтобы можно было пользоваться DLP-системой на законных основаниях и иметь право использовать ее данные при защите своих прав, сведения о ней должны быть внесены в трудовые договоры и в правила внутреннего трудового распорядка. Если же вы хотите максимально полно защититься от информационных рисков, вам поможет чек-лист, в который внесены все необходимые меры.