Контакты
Подписка
МЕНЮ
Контакты
Подписка

Юридические аспекты внедрения DLP-системы

Юридические аспекты внедрения DLP-системы

Юридические аспекты внедрения DLP-системы


05.12.2018



Введение

Сотрудник на предприятии присутствует в двух ипостасях: как человек и как нанятый специалист со своими функциями. Как нанятый специалист он имеет обязанности по отношению к работодателю, и для их выполнения ему предоставлены технические и другие средства. Как человек он имеет личные интересы и связи, которые неприкосновенны, согласно законодательству, но не должны мешать работе. В соответствии с Трудовым кодексом, для того, чтобы не происходило смешения интересов, следует до начала сотрудничества обсудить с сотрудником границы личного и производственного, а также зафиксировать это в документах, о которых сотрудник должен быть в курсе (внутренний трудовой распорядок и пр.). Тогда вы сможете защитить свои права в конфликтной ситуации либо не попасть в нее. То же самое касается защиты коммерческой тайны. Для того чтобы получить защиту закона в случае нарушения ваших прав, следует предпринять ряд действий организационного и технического характера и оповестить о них сотрудников. Мы постарались затронуть все нюансы внедрения DLP и систем мониторинга.  

Неприкосновенность частной жизни сотрудников

Сотрудники должны знать, что на предприятии установлена DLP-система или система мониторинга. Сведения о ней должны быть внесены в трудовые договоры и в правила внутреннего трудового распорядка. Если не использовать оповещение сотрудников, мы не сможем к ним применить никакие меры взыскания. Нужно прописать, что все ресурсы, которые используются в работе, являются собственностью работодателя, и использование их в личных целях запрещено. Тогда если сотрудник пользуется ими в личных целях, это становится его проблемой, кроме того, он подлежит дисциплинарному взысканию за нецелевое использование рабочих ресурсов или за нарушение правил трудового распорядка. Но мы должны не просто запретить, мы должны написать в инструкции, что мы анализируем и какие действия производим. Например, использование корпоративной почты в личных целях на предприятии запрещено, и за это могут последовать определенные санкции. Также должны быть прописаны правила разграничения доступа к защищаемой информации.  

Нарушение тайны связи

Такой вопрос возникает, если мы перехватили личное послание сотрудника, в котором содержалась информация, составляющая коммерческую тайну.  Согласно 126-ФЗ "О связи", если работодатель не является для своих сотрудников оператором связи, не предоставляет им услуги связи, а просто предоставляет оборудование, принадлежащее ему, для работы, то он не обязан обеспечивать тайну связи. Чтобы сотрудники не могли пожаловаться на нарушение тайны связи, в трудовом договоре и правилах внутреннего распорядка должно быть прописано, что рабочее оборудование принадлежит работодателю, и запрещается использовать его в личных целях. Если сотруднику для работы требуется учетная запись в каком-либо мессенджере, то выдача таких учетных записей с паролями должна быть регламентирована, сотрудник должен получать ее под личную ответственность и подтвердить получение ее личной подписью.  

Требования закона о персональных данных 

 Одна из функций DLP-системы — препятствовать разглашению персональных данных. То есть она может быть одной из организационно-технических мер режима защиты персональных данных.  Согласно 152-ФЗ "О защите персональных данных", персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных):

  • фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы;
  • паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение;
  • сведения о доходах, данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора;
  • сведения о льготах, медицинских страховках, сведения о перенесенных заболеваниях, прививках, предыдущих лечениях, результаты анализов; сведения о ребенке (данные свидетельства о рождении, сведения о родителях и пр.)

Как ввести в организации режим защиты персональных данных? Руководитель приказом назначает ответственного за обработку и защиту персональных данных. Ответственный готовит пакет документов, регламентирующих защиту персональных данных, решает вопрос, следует ли подавать уведомление в Роскомнадзор о внесении организации в реестр операторов персональных данных, в соответствии с 152-ФЗ "О защите персональных данных", и отвечает за применение организационных и технических мер по обеспечению безопасности персональных данных.  

 Защита коммерческой тайны

Чтобы эффективно пользоваться DLP-системой или системой мониторинга в вопросах информационной безопасности, должна быть разработана и внедрена соответствующая организационно-распорядительная документация, которая определяет понятие коммерческой тайны и очерчивает круг документов, имеющих отношение к коммерческой тайне. Режим коммерческой тайны считается внедренным при выполнении ст. 10 98-ФЗ ("О коммерческой тайне"). Если хотя бы один пункт будет не внедрен, компания не сможет защититься при разглашении коммерческой тайны.

Требования:

  1.  В компании определен и составлен перечень сведений, относящихся к коммерческой тайне.
  2. В компании имеется Положение о коммерческой тайне.
  3. Используются грифы секретности.
  4. Назначены сотрудники, ответственные за поддержание режима коммерческой тайны.
  5. Введена система прав доступа.
  6. Проведен учет лиц, имеющих доступ к информации, относящейся к коммерческой тайне.
  7. Порядок использования конфиденциальных сведений прописан в трудовых договорах с сотрудниками.
  8. Порядок использования конфиденциальных сведений прописан в договорах с контрагентами.
  9. Все сотрудники ознакомлены под роспись с документами в области информационной безопасности.
  10. Созданы условия для соблюдения режима коммерческой тайны (сотрудникам выданы персональные учетные записи, при необходимости — устройства хранения, перечни категорий информации, сейфы и пр.).
  11. Регулярно проводится обучение сотрудников по вопросам информационной безопасности.

Внимание: имеются сведения, которые не могут составлять коммерческую тайну (98-ФЗ "О коммерческой тайне", ст. 5). Кроме того, не стоит включать в коммерческую тайну сведения, уже защищенные законом об авторском праве (ГК РФ, ст. 70) или патентами, свидетельствами на товарные знаки (знаки обслуживания), свидетельствами на программы для ЭВМ и базы данных.

Следует обратить особое внимание на ст. 81, п. 6 ТК РФ "Грубое правонарушение". Согласно этой статье, к грубым правонарушениям относится разглашение защищаемой законом информации: государственной, коммерческой, налоговой, банковской тайны и пр., разглашение персональных данных и пр. Это значит, что если сотрудник уличен в таких действиях, не нужно повторений и предупреждений. Вы имеете право уволить сотрудника с первого раза.  

Данные DLP-системы как доказательство

 На основании данных DLP-системы можно привлечь сотрудника к ответственности за нарушение режима коммерческой тайны или информационной безопасности, нарушение трудового распорядка, нарушение трудовой дисциплины. Важно всё сделать в строгом соответствии со ст. 193 Трудового кодекса РФ "Порядок применения дисциплинарных взысканий". Если не следовать процедуре наложения дисциплинарных взысканий, сотрудник может оспорить такие действия в суде, к тому же отсудит деньги у работодателя (потерянный доход).

  1.  При срабатывании алерта DLP проверить, имел ли место инцидент, собрать информацию, получить отчет DLP-системы или системы мониторинга. Она должна позволять на основании собранных данных сделать вывод, был ли инцидент.
  2. Направить сотруднику письменное извещение, что он должен в течение двух рабочих дней представить объяснительную записку. В требовании должны быть указаны обстоятельства дела, обстоятельства обнаружения инцидента и другая существенная информация. Если через 2 дня после требования объяснительная не представлена, зафиксировать факт непредоставления объяснительной актом. На основании акта, отчета DLP-системы или система мониторинга и всех остальных документов издается приказ о дисциплинарном взыскании, которое может быть, в зависимости от тяжести нарушения, трех видов: предупреждение, выговор, увольнение. Приказ в трехдневный срок доводится до сотрудника под роспись. Если сотрудник отказался подписывать приказ, фиксируем актом.
  3. Создается комиссия, которая делает вывод, имел ли место инцидент.
  4. В случае грубого нарушения сотрудник может быть уволен немедленно.
  5. Если в течение года последуют подобные нарушения, то сотрудник может быть уволен в соответствии со ст. 81 ТК РФ за неоднократное нарушение трудового распорядка.  

Защита на случай проверок ФСТЭК, ФСБ, ЦБ РФ

 Чтобы уверенно чувствовать себя на случай проверок государственных органов и регуляторов, нужно руководствоваться следующими нормативными документами:

  •  Защита персональных данных: 152-ФЗ "О защите персональных данных", ПП 1119 , от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказ ФСТЭК России №21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Требования распространяются на организации, обрабатывающие персональные данные.
  • Защита государственных информационных систем: 149-ФЗ "Об информации, информационных технологиях и о защите информации", Приказ ФСТЭК России №17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", Методические рекомендации ФСТЭК России.
  •  Требования распространяются на организации, имеющие доступ к государственным и муниципальным информационным системам. Для других государственных организаций требования носят рекомендательный характер. Требования по защите данных в Национальной платежной системе: 161-ФЗ "О национальной платежной системе", ПП 584 "Об уведомительном порядке начала осуществления отдельных видов предпринимательской деятельности", Положение Банка России от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" и пр. Относится к участникам НПС (банкам и др.).
  • Защита инсайдерской информации: 224-ФЗ "О государственно-частном партнерстве в Российской Федерации" и внесении изменений в отдельные законодательные акты Российской Федерации" (отношения, связанные с финансовыми инструментами, иностранной валютой и товарами, которые допущены к торговле на организованных торгах на территории Российской Федерации), 98-ФЗ "О коммерческой тайне".
  • PCI DSS (безопасность данных, связанных с платежными картами).

Дополнительно:

  •  СТО БР ИББС — рекомендательный характер.
  •  ISO 27001 (комплексный международный стандарт по информационной безопасности).  

 Возмещение ущерба при противоправных действиях сотрудников

Согласно ст. 17 "Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации", п.2 149-ФЗ "Об информации, информационных технологиях и о защите информации", мы можем требовать с сотрудника возмещения убытков при нарушении информационной безопасности. Однако о возмещении убытков речь может идти только тогда, когда соблюдены все требования конфиденциальности информации: выполнены требования закона о коммерческой тайне, внедрены соответствующие инструкции об информации, являющейся коммерческой тайной, и о разграничении доступа к такой информации. Должно быть прописано, какие сотрудники имеют доступ к такой информации. Кроме того, на основании ст. 238, 243 ТК РФ взыскать мы можем только прямой ущерб. Упущенную выгоду взыскать по этим статьям не получится. Мера ОЦЛ 5 Приказа ФСТЭК №17 (для органов государственной власти) или №21 — для защиты конфиденциальной информации от утечки по каналам связи: Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы. Для использования этой меры нужно: а) прописать модель угроз; б) выделить актуальные угрозы утечки информации, в) сослаться на эту меру.

Выводы

Внедрение DLP затрагивает важные стороны работы компании. Для того чтобы оно было в правовом поле, нужно, во-первых, не выходить за рамки законодательства, во-вторых, интегрировать систему в информационную инфраструктуру компании. Это значит, что легитимное использование DLP должно опираться на внутренние документы и регламенты, такие как Положение о коммерческой тайне, Политика конфиденциальности, Политика в отношении персональных данных, кадровые документы и пр. Для того чтобы можно было пользоваться DLP-системой на законных основаниях и иметь право использовать ее данные при защите своих прав, сведения о ней должны быть внесены в трудовые договоры и в правила внутреннего трудового распорядка. Если же вы хотите максимально полно защититься от информационных рисков, вам поможет чек-лист, в который внесены все необходимые меры.

 

 

https://www.anti-malware.ru/practice/solutions/legal-aspects-of-the-implementation-of-dlpsystem