Легализация dlp

DLP-системы сегодня используются во многих отраслях бизнеса: банковское дело, энергетика, фармацевтика, транспорт. Они помогут автоматизированно контролировать коммуникации сотрудников, содействовать предотвращению утечек информации.

Во многом работа подобных инструментов связана со сбором, проверкой и анализом больших информационных массивов. Параллельно с этим встаёт вопрос тотального контроля персонала, создание схем поведения, отграничения прав, вынесения наказания. Такой подход многим сотрудникам не по душе. Кто-то даже считает, что происходит ущемление его прав и свобод. Двойственность стандартов и отношений между работодателем и исполнителем до сих пор вызывает разногласие сторон, поэтому легализация DLP требует проведения подготовительных мер и разъяснения ситуации персоналу во избежание конфликтов и инцидентов.

Насколько легально использовать DLP-системы в бизнесе?

Защита информационных ресурсов компании считается одним из ключевых моментов в стабильном развитии. Особое место в этом вопросе занимает коммерческая тайна, т.е. те сведения, которые являются собственностью компании и представляют наибольшую ценность. К таким сведениям относятся в первую очередь внутренняя финансовая документация, персональные данные клиентов, патенты, лицензии, разработки. Список может быть расширен еще 5-8 видами сведений, которые потребуют защиты.

Прежде чем внедрить DLP-систему, необходимо предварительно подготовиться к этому. Начинать нужно со следующих моментов:

1. Ввести в организации режим коммерческой тайны. Осуществимо за счет подписания сотрудниками соглашения о неразглашении коммерческой тайны отдельным документом или указанием подобного пункта в трудовом договоре.

2. Составить точный перечень сведений, представляющих коммерческую тайну.

3. Подписать с работниками согласие на осуществление автоматизированного мониторинга и контроля. Тем самым использование DLP-системы превращается в открытый и понятный процесс для всех, а не только для работодателя.

При выполнении работодателем описанных выше пунктов легализация DLP становится лишь делом времени, потому что игра ведется честно и открыто. Это уже не слежка, а управляемый процесс, направленный на решение реально существующих проблем, с которыми придется считаться. Чтобы правомерность действий работодателя по внедрению DLP-системы в рабочий процесс не вызвала вопросов у проверяющих органов, должны быть четкие обоснования для использования подобного инструмента. Например, коммерческая тайна, защита данных клиентов, предотвращение мошенничества. Тем не менее стоит учитывать возможность конфронтации со стороны персонала ввиду посягательства на его личную жизнь, свободу выбора. Разрешить подобные ситуации возможно только договорившись с сотрудниками и объяснив им, что применение DLP-решений — это не слежка, а предотвращение инцидентов безопасности, которые сопровождаются возможными рисками.

Какие сложности могут возникнуть при легализации dlp в организации?

Ряд нормативно-правовых актов РФ вступает в противоречие с принципами ведения контроля информации внутри компании, потому что вероятно затрагивание личных интересов и свобод исполнителей. Наибольшего внимания заслуживают следующие моменты:

1. Неприкосновенность частной жизни работников. Здесь важно разграничить информацию на персональную и корпоративную. Вторая полагается собственностью компании, подлежит защите. Необходимо обозначить перечень сведений, принадлежащих к собственности организации и находящихся под запретом для манипуляций в личных целях. Также стоит ограничить или запретить обращение с личной информацией на рабочем месте. Для этого составляются отдельные инструкции, правила. В случае их нарушения работодатель вправе применить наказание для персонала.

2. Нарушение тайны связи. Возникает при перехвате личного сообщения сотрудника, не относящегося к работе и произведённого с оборудования работодателя. Чтобы избежать таких инцидентов, нужно в договоре с работником и правилах указать, что запрещается использовать рабочее оборудование в личных целях. Это не противоречит 126-ФЗ ˶О связи˝, поэтому интересы компании будут защищены.

3. Соблюдение пунктов закона о персональных данных. В эту категорию попадает широкая группа информации, которую желательно оформить отдельным списком, дабы избежать двусмысленностей. Для обеспечения защиты персональных сведений назначают ответственное лицо, которое занимается вопросами регламентации данных, выбором и запуском технических мер по обеспечению охраны.

Процесс интеграции и запуска DLP-решений для мониторинга поведения сотрудников и улучшения информационной безопасности организации должен быть тщательно подготовлен, спланирован, чтобы не возникло противоречий в его работе. Рекомендуется опираться на такие нормативные акты как 152-ФЗ ˶О защите персональных данных˝, где обозначены критерии и категории персональных сведений, и 149-ФЗ ˶Об информации, информационных технологиях и о защите информации˝, где присутствуют рекомендации и правила обработки конфиденциальных данных.

Юридическое обоснование DLP в качестве меры защиты конфиденциальных сведений

ФСТЭК России дал ряд рекомендаций организациям государственного и коммерческого сектора по защитным мерам конфиденциальных данных еще в 2014 году. Именно тогда был введен в исполнение документ ˶Меры защиты информации в государственных информационных системах˝, где в качестве рекомендуемых действий, нацеленных на повышение уровня информационной защиты, указывались такие решения как многоуровневая аутентификация, антивирусы, IDS/IPS. DLP-системы в списке не фигурировали, а уклон делался на регулирующие, а не превентивные решения. Тем не менее, учитывая функционал DLP-решений они вполне попадают в категорию подходящих к использованию защитных мер.

Юридическое обоснование DLP для практического применения можно увидеть в 98-ФЗ ˶О коммерческой тайне˝, в частности статья 10, где говорится, что владелец коммерческой тайны обозначает регламент обращения с ней и применяет меры контроля за исполнением. Также ведется наблюдение лиц, обладающих правом доступа. В 10 статье 98-ФЗ указывается, что правообладателю разрешено применять при необходимости средства и методы технической защиты конфиденциальности информации. Соответственно применение DLP-решений для сохранения коммерческой тайны в условиях соблюдения регламента использования никак не противоречит законодательству.

Аналогичные рекомендации прослеживаются в 149-ФЗ ˶Об информации, информационных технологиях и защите информации˝, где указывается, что владелец сведений обязан обеспечить противодействие несанкционированному доступу к важным данным, предотвращать попытки передачи информации третьим лица, вести регулярные проверки за обеспечением должного уровня безопасности.

Приказ ФСТЭК России №17 от 2013 года подтверждает необходимость проведения дополнительных действий со стороны работодателя для поддержания полноценного рабочего цикла и снижения рисков утраты и утечки информации в сторону третьих лиц.

Большинство законодательных актов РФ, посвященных проблеме обеспечения информационной защиты, не указывают конкретных путей решения проблемы. Говорится лишь о том, что категорически нельзя ущемлять права персонала, его личные свободы, работать согласно уже присутствующему регламенту организации и рабочим предписаниям, с которыми ознакомлен персонал. Соответственно ничто не мешает рассматривать DLP-решения в качестве одного из инструментов безопасности.

Юридическое обоснование DLP подразумевает четкое следование законодательству РФ ввиду множества пересекающихся методических указаний, правил. Чтобы компания могла полноценно и легально использовать DLP-системы для контроля сотрудников и пресечения утечек конфиденциальных данных придется позаботиться о том, чтобы произошла полная интеграция инструмента с имеющейся информационной инфраструктурой, а любые проверки и меры контроля должны опираться на внутренний регламент и правила, которые утверждены заранее. Только в этом случае DLP-решение станет помощником, а не источником конфликтов между руководством и персоналом компании.