Юридические аспекты внедрения DLP-системы

Юридические аспекты внедрения DLP-системы

Что сделать, чтобы вам как работодателю защитить свои права и информацию, при этом не нарушив прав ваших сотрудников? Простым языком объясняем правовые нюансы, возникающие при внедрении и использовании DLP и систем мониторинга на предприятии.

 

 

 

 

 

  1. Введение
  2. Неприкосновенность частной жизни сотрудников
  3. Нарушение тайны связи
  4. Требования закона о персональных данных
  5. Защита коммерческой тайны
  6. Данные DLP-системы как доказательство
  7. Защита на случай проверок ФСТЭК, ФСБ, ЦБ РФ
  8. Возмещение ущерба при противоправных действиях сотрудников
  9. Полный перечень документов, регулирующих обеспечение информационной безопасности
  10. Чек-лист по обеспечению законности внедрения DLP-системы или системы мониторинга (для коммерческих компаний)
  11. Выводы

 

Введение

Сотрудник на предприятии присутствует в двух ипостасях: как человек и как нанятый специалист со своими функциями. Как нанятый специалист он имеет обязанности по отношению к работодателю, и для их выполнения ему предоставлены технические и другие средства. Как человек он имеет личные интересы и связи, которые неприкосновенны, согласно законодательству, но не должны мешать работе. В соответствии с Трудовым кодексом, для того, чтобы не происходило смешения интересов, следует до начала сотрудничества обсудить с сотрудником границы личного и производственного, а также зафиксировать это в документах, о которых сотрудник должен быть в курсе (внутренний трудовой распорядок и пр.). Тогда вы сможете защитить свои права в конфликтной ситуации либо не попасть в нее.

То же самое касается защиты коммерческой тайны. Для того чтобы получить защиту закона в случае нарушения ваших прав, следует предпринять ряд действий организационного и технического характера и оповестить о них сотрудников.

Мы постарались затронуть все нюансы внедрения DLP и систем мониторинга.

 

Неприкосновенность частной жизни сотрудников

Сотрудники должны знать, что на предприятии установлена DLP-система или система мониторинга. Сведения о ней должны быть внесены в трудовые договоры и в правила внутреннего трудового распорядка. Если не использовать оповещение сотрудников, мы не сможем к ним применить никакие меры взыскания. Нужно прописать, что все ресурсы, которые используются в работе, являются собственностью работодателя, и использование их в личных целях запрещено. Тогда если сотрудник пользуется ими в личных целях, это становится его проблемой, кроме того, он подлежит дисциплинарному взысканию за нецелевое использование рабочих ресурсов или за нарушение правил трудового распорядка. Но мы должны не просто запретить, мы должны написать в инструкции, что мы анализируем и какие действия производим. Например, использование корпоративной почты в личных целях на предприятии запрещено, и за это могут последовать определенные санкции. Также должны быть прописаны правила разграничения доступа к защищаемой информации.

 

Нарушение тайны связи

Такой вопрос возникает, если мы перехватили личное послание сотрудника, в котором содержалась информация, составляющая коммерческую тайну.  Согласно 126-ФЗ «О связи», если работодатель не является для своих сотрудников оператором связи, не предоставляет им услуги связи, а просто предоставляет оборудование, принадлежащее ему, для работы, то он не обязан обеспечивать тайну связи. Чтобы сотрудники не могли пожаловаться на нарушение тайны связи, в трудовом договоре и правилах внутреннего распорядка должно быть прописано, что рабочее оборудование принадлежит работодателю, и запрещается использовать его в личных целях. Если сотруднику для работы требуется учетная запись в каком-либо мессенджере, то выдача таких учетных записей с паролями должна быть регламентирована, сотрудник должен получать ее под личную ответственность и подтвердить получение ее личной подписью.

 

Требования закона о персональных данных 

Одна из функций DLP-системы — препятствовать разглашению персональных данных. То есть она может быть одной из организационно-технических мер режима защиты персональных данных. 

Согласно 152-ФЗ «О защите персональных данных», персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных):

  • фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы;
  • паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение;
  • сведения о доходах, данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора;
  • сведения о льготах, медицинских страховках, сведения о перенесенных заболеваниях, прививках, предыдущих лечениях, результаты анализов;
  • сведения о ребенке (данные свидетельства о рождении, сведения о родителях и пр.)

Как ввести в организации режим защиты персональных данных? Руководитель приказом назначает ответственного за обработку и защиту персональных данных. Ответственный готовит пакет документов, регламентирующих защиту персональных данных, решает вопрос, следует ли подавать уведомление в Роскомнадзор о внесении организации в реестр операторов персональных данных, в соответствии с 152-ФЗ «О защите персональных данных», и отвечает за применение организационных и технических мер по обеспечению безопасности персональных данных.

 

Защита коммерческой тайны

Чтобы эффективно пользоваться DLP-системой или системой мониторинга в вопросах информационной безопасности, должна быть разработана и внедрена соответствующая организационно-распорядительная документация, которая определяет понятие коммерческой тайны и очерчивает круг документов, имеющих отношение к коммерческой тайне. Режим коммерческой тайны считается внедренным при выполнении ст. 10 98-ФЗ («О коммерческой тайне»). Если хотя бы один пункт будет не внедрен, компания не сможет защититься при разглашении коммерческой тайны.

Требования:

  1. В компании определен и составлен перечень сведений, относящихся к коммерческой тайне.
  2. В компании имеется Положение о коммерческой тайне.
  3. Используются грифы секретности.
  4. Назначены сотрудники, ответственные за поддержание режима коммерческой тайны.
  5. Введена система прав доступа.
  6. Проведен учет лиц, имеющих доступ к информации, относящейся к коммерческой тайне.
  7. Порядок использования конфиденциальных сведений прописан в трудовых договорах с сотрудниками.
  8. Порядок использования конфиденциальных сведений прописан в договорах с контрагентами.
  9. Все сотрудники ознакомлены под роспись с документами в области информационной безопасности.
  10. Созданы условия для соблюдения режима коммерческой тайны (сотрудникам выданы персональные учетные записи, при необходимости — устройства хранения, перечни категорий информации, сейфы и пр.).
  11. Регулярно проводится обучение сотрудников по вопросам информационной безопасности.

Внимание: имеются сведения, которые не могут составлять коммерческую тайну (98-ФЗ «О коммерческой тайне», ст. 5). Кроме того, не стоит включать в коммерческую тайну сведения, уже защищенные законом об авторском праве (ГК РФ, ст. 70) или патентами, свидетельствами на товарные знаки (знаки обслуживания), свидетельствами на программы для ЭВМ и базы данных.

Следует обратить особое внимание на ст. 81, п. 6 ТК РФ «Грубое правонарушение». Согласно этой статье, к грубым правонарушениям относится разглашение защищаемой законом информации: государственной, коммерческой, налоговой, банковской тайны и пр., разглашение персональных данных и пр. Это значит, что если сотрудник уличен в таких действиях, не нужно повторений и предупреждений. Вы имеете право уволить сотрудника с первого раза.

 

Данные DLP-системы как доказательство

На основании данных DLP-системы можно привлечь сотрудника к ответственности за нарушение режима коммерческой тайны или информационной безопасности, нарушение трудового распорядка, нарушение трудовой дисциплины. Важно всё сделать в строгом соответствии со ст. 193 Трудового кодекса РФ «Порядок применения дисциплинарных взысканий». Если не следовать процедуре наложения дисциплинарных взысканий, сотрудник может оспорить такие действия в суде, к тому же отсудит деньги у работодателя (потерянный доход).

  1. При срабатывании алерта DLP проверить, имел ли место инцидент, собрать информацию, получить отчет DLP-системы или системы мониторинга. Она должна позволять на основании собранных данных сделать вывод, был ли инцидент.
  2. Направить сотруднику письменное извещение, что он должен в течение двух рабочих дней представить объяснительную записку. В требовании должны быть указаны обстоятельства дела, обстоятельства обнаружения инцидента и другая существенная информация.
  3. Если через 2 дня после требования объяснительная не представлена, зафиксировать факт непредоставления объяснительной актом. На основании акта, отчета DLP-системы или система мониторинга и всех остальных документов издается приказ о дисциплинарном взыскании, которое может быть, в зависимости от тяжести нарушения, трех видов: предупреждение, выговор, увольнение. Приказ в трехдневный срок доводится до сотрудника под роспись. Если сотрудник отказался подписывать приказ, фиксируем актом.
  4. Создается комиссия, которая делает вывод, имел ли место инцидент.
  5. В случае грубого нарушения сотрудник может быть уволен немедленно.
  6. Если в течение года последуют подобные нарушения, то сотрудник может быть уволен в соответствии со ст. 81 ТК РФ за неоднократное нарушение трудового распорядка.

 

Защита на случай проверок ФСТЭК, ФСБ, ЦБ РФ

Чтобы уверенно чувствовать себя на случай проверок государственных органов и регуляторов, нужно руководствоваться следующими нормативными документами:

  • Защита персональных данных: 152-ФЗ «О защите персональных данных», ПП 1119 , от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Требования распространяются на организации, обрабатывающие персональные данные.
  • Защита государственных информационных систем: 149-ФЗ «Об информации, информационных технологиях и о защите информации», Приказ ФСТЭК России №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Методические рекомендации ФСТЭК России. Требования распространяются на организации, имеющие доступ к государственным и муниципальным информационным системам. Для других государственных организаций требования носят рекомендательный характер.
  • Требования по защите данных в Национальной платежной системе: 161-ФЗ «О национальной платежной системе», ПП 584 «Об уведомительном порядке начала осуществления отдельных видов предпринимательской деятельности», Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» и пр. Относится к участникам НПС (банкам и др.).
  • Защита инсайдерской информации: 224-ФЗ «О государственно-частном партнерстве в Российской Федерации» и внесении изменений в отдельные законодательные акты Российской Федерации» (отношения, связанные с финансовыми инструментами, иностранной валютой и товарами, которые допущены к торговле на организованных торгах на территории Российской Федерации), 98-ФЗ «О коммерческой тайне».
  • PCI DSS (безопасность данных, связанных с платежными картами).

Дополнительно:

  • СТО БР ИББС — рекомендательный характер.
  • ISO 27001 (комплексный международный стандарт по информационной безопасности).

 

Возмещение ущерба при противоправных действиях сотрудников

Согласно ст. 17 «Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации», п.2 149-ФЗ «Об информации, информационных технологиях и о защите информации», мы можем требовать с сотрудника возмещения убытков при нарушении информационной безопасности. Однако о возмещении убытков речь может идти только тогда, когда соблюдены все требования конфиденциальности информации: выполнены требования закона о коммерческой тайне, внедрены соответствующие инструкции об информации, являющейся коммерческой тайной, и о разграничении доступа к такой информации. Должно быть прописано, какие сотрудники имеют доступ к такой информации. Кроме того, на основании ст. 238, 243 ТК РФ взыскать мы можем только прямой ущерб. Упущенную выгоду взыскать по этим статьям не получится.

Мера ОЦЛ 5 Приказа ФСТЭК №17 (для органов государственной власти) или №21 — для защиты конфиденциальной информации от утечки по каналам связи: Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы. Для использования этой меры нужно: а) прописать модель угроз; б) выделить актуальные угрозы утечки информации, в) сослаться на эту меру.

 

Полный перечень документов, регулирующих обеспечение информационной безопасности 

  1. Конституция РФ:
    1. ст. 23 «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени». «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».
  2. Трудовой кодекс РФ:
    1. ст. 14 с изменениями и дополнениями;
    2. ст. 22 «Основные правила и обязанности работодателя»;
    3. ст. 81 «Расторжение трудового договора по инициативе работодателя»;
    4. ст. 91 «Понятие рабочего времени. Нормальная продолжительность рабочего времени»;
    5. ст. 193 «Порядок применения дисциплинарных взысканий»;
    6. ст. 238 «Материальная ответственность работника за ущерб, причиненный работодателю»;
    7. ст. 243 «Случаи полной материальной ответственности».
  3. Гражданский кодекс РФ:
    1. ст. 15 «Возмещение убытков»;
    2. ст. 70 «Авторское право».
  4. Уголовный кодекс РФ:
    1. ст. 137 «Нарушение неприкосновенности частной жизни»;
    2. ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»;
    3. ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».
  5. 98-ФЗ «О коммерческой тайне»:
    1. ст. 5 «Сведения, которые не могут составлять коммерческую тайну»;
    2. ст. 10 «Охрана конфиденциальности информации».
  6. 126-ФЗ «О связи»:
    1. ст. 63 «Тайна связи»: На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Обеспечивать тайну связи — задача оператора связи.
  7. 149-ФЗ «Об информации, информационных технологиях и защите информации»:
    1. ст. 9 «Ограничение доступа к информации»;
    2. ст. 16 «Защита информации»;
    3. ст. 17 «Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации».
  8. 152-ФЗ «О защите персональных данных».
  9. 161-ФЗ «О национальной платежной системе».
  10. 224-ФЗ «О государственно-частном партнерстве, муниципально-частном партнерстве в Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации».
  11. 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья».
  12. Приказ ФСТЭК от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  13. Приказ ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  14. Приказ ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
  15. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  16. Методические рекомендации ФСТЭК России «Меры защиты информации в государственных информационных системах».
  17. Постановление Правительства РФ от 16.07.2009 N 584 (ред. от 29.06.2018) «Об уведомительном порядке начала осуществления отдельных видов предпринимательской деятельности» (вместе с «Правилами представления уведомлений о начале осуществления отдельных видов предпринимательской деятельности и учета указанных уведомлений»).
  18. Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
  19. PCI DSS.
  20. СТО БР ИББС.
  21. ISO 27001.

 

Чек-лист по обеспечению законности внедрения DLP-системы или системы мониторинга (для коммерческих компаний)

  1. В компании определен и составлен перечень сведений, относящихся к коммерческой тайне.
  2. В компании имеется политика безопасности.
  3. В компании имеется Положение о коммерческой тайне.
  4. Используются грифы секретности.
  5. Назначены сотрудники, ответственные за поддержание режима коммерческой тайны.
  6. Введена система прав доступа.
  7. Проведен учет лиц, имеющих доступ к информации, относящейся к коммерческой тайне.
  8. Порядок использования конфиденциальных сведений прописан в трудовых договорах с сотрудниками.
  9. Порядок использования конфиденциальных сведений прописан в договорах с контрагентами.
  10. В компании имеются правила внутреннего трудового распорядка.
  11. В трудовых договорах имеется пункт о том, что оборудование является собственностью работодателя и использование его в личных целях запрещено
  12. В трудовых договорах имеется пункт о том, что работодатель может установить систему мониторинга или DLP-систему, с помощью которой производится контроль доступа к …
  13. Все сотрудники ознакомлены под роспись с документами в области информационной безопасности.
  14. Созданы условия для соблюдения режима коммерческой тайны (сотрудникам выданы персональные учетные записи, при необходимости — устройства хранения, перечни категорий информации, сейфы и пр.).
  15. Разработана программа обучения сотрудников мерам информационной безопасности.
  16. Назначены ответственные и принят пакет документов, регламентирующий обработку и защиту персональных данных.
  17. На сайте под любой формой, которую заполняет посетитель, должна быть возможность поставить галочку согласия на обработку персональных данных и текст соглашения должен быть доступен в режиме прокрутки.
  18. Во всех случаях офлайн-запроса персональных данных запрашивается согласие на обработку персональных данных.
  19. Хостинг и база данных с персональными данными располагаются на территории России.
  20. В организации принята политика в отношении обработки персональных данных, она доступна всем посетителям, в том числе посетителям сайта.
  21. На сайте организации выложена Политика конфиденциальности, которая также отражает работу с ПДн, их обработку, хранение и пр.
  22. Всем новым посетителям сайта демонстрируется сообщение о том, что сайт использует метаданные пользователя.
  23. В случае необходимости подано уведомление в Роскомнадзор о внесении в реестр операторов персональных данных.
  24. При передаче персональных данных другой организации с этой организацией подписывается поручение об обработке персональных данных.

 

Выводы

Внедрение DLP затрагивает важные стороны работы компании. Для того чтобы оно было в правовом поле, нужно, во-первых, не выходить за рамки законодательства, во-вторых, интегрировать систему в информационную инфраструктуру компании. Это значит, что легитимное использование DLP должно опираться на внутренние документы и регламенты, такие как Положение о коммерческой тайне, Политика конфиденциальности, Политика в отношении персональных данных, кадровые документы и пр.

Для того чтобы можно было пользоваться DLP-системой на законных основаниях и иметь право использовать ее данные при защите своих прав, сведения о ней должны быть внесены в трудовые договоры и в правила внутреннего трудового распорядка.

Если же вы хотите максимально полно защититься от информационных рисков, вам поможет чек-лист, в который внесены все необходимые меры.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru