Защита данных от внутренних угроз
Узнать больше
Автор:
Сергей Волгин,
Аналитик Центра продуктов Дозор, «Ростелеком-Солар»
В условиях повышенного внимания организаций к защите коммерческих сведений и персональных данных вопросы законности использования данных из DLP-систем приобретают все большую актуальность, о чем свидетельствует рост числа судебных прецедентов и многочисленных публикаций, связанных с этой темой.
Для того чтобы у сотрудников юридических подразделений, служб собственной и информационной безопасности появилось предметное понимание ситуации, рассмотрим законодательные основания для использования в организации DLP-системы.
Принципами правового регулирования отношений в сфере информации, информационных технологий и защиты информации, согласно ст. 3 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (149-ФЗ), в частности, являются:
1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2) установление ограничений доступа к информации только федеральными законами;
3) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.
Иными словами, информация, если она не относится к частной жизни, может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к ней либо иные требования к порядку ее предоставления или распространения.
В соответствии со ст. 6 149-ФЗ обладателем информации может быть и юридическое лицо. Обладатель информации при этом вправе:
1) принимать меры по защите информации, ограничивать доступ к информации, если такая обязанность установлена федеральными законами;
2) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа. Это означает, что посредством разграничения доступа законодатель дает право юридическому лицу обеспечивать безопасность информации, обладателем которой оно является;
3) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования (к примеру, привлекать виновных к дисциплинарной ответственности, обращаться в правоохранительные органы и/или в суд и т. д.).
При этом обладатель информации при защите своих прав обязан соблюдать права и законные интересы иных лиц.
Учитывая перечисленные положения законодательства, можно констатировать, что юридическое лицо, работая с информацией, обязано установить правила работы с ней и разграничить к ней доступ. В противном случае привлечь к ответственности юридическое лицо и его работников, которые распространили конфиденциальную информацию, будет очень трудно.
Законодатель возложил на обладателей информации обязанности по ее защите. Этот процесс предусматривает принятие ими правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, ее уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
Требования по защите информации, которые законодатель предъявляет обладателю информации, представлены в таблице 1.
Таблица 1.
Требования по защите информации, указанные в п. 4 ст. 16 149-ФЗ, применительно к функционалу DLP-систем.
|
1 |
Своевременное обнаружение фактов несанкционированного доступа к информации |
Требование покрывается полностью с помощью DLP-cистем |
|
2 |
Предотвращение несанкционированного доступа к информации и передачи ее лицам, не имеющим права на доступ к ней |
Требование покрывается полностью с помощью DLP-cистем |
|
3 |
Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации |
Требование покрывается полностью с помощью DLP-cистем |
|
4 |
Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование |
Требование покрывается частично с помощью DLP-cистем |
|
5 |
Постоянный контроль за обеспечением уровня защищенности информации |
Требование покрывается полностью с помощью DLP-cистем |
|
6 |
Нахождение на территории Российской Федерации баз данных, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации |
Требование покрывается полностью с помощью DLP-cистем |
|
7 |
Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней |
Требование покрывается частично с помощью DLP-cистем |
Как можно заметить, практически все обязанности по защите своей информации организация может выполнить с помощью DLP-системы.
Отсюда вытекает логичный вопрос: можно ли использовать данные из системы для защиты интересов организации?
Да, можно, но при выполнении некоторых условий, о которых скажем ниже.
Как отмечалось ранее, защита информации должна осуществляться без нарушения неприкосновенности частной жизни, а это значит, что собирать, хранить, использовать и распространять информацию о частной жизни лица без его согласия недопустимо. Также недопустимо требовать от работника согласия на сбор указанных сведений, так как они не имеют прямого отношения к деятельности организации. Следовательно, работодатель не должен скрывать от своих сотрудников факт использования DLP-системы, для чего правовые отношения с ними необходимо четко регламентировать, а именно:
1) Уведомить работников о том, что на выданной им для исполнения трудовых обязанностей ЭВМ может быть установлено специализированное программное обеспечение, задача которого – контролировать обрабатываемую информацию, обладателем которой является работодатель.
2) Установить запрет на обработку сотрудниками личной информации, не относящейся к исполняемым ими обязанностям, с помощью служебной техники и ресурсов. Необходимо указать, что в случае обнаружения такой информации сотрудника могут привлечь к дисциплинарной ответственности, а личная информация в обязательном порядке будет удалена из системы, чтобы исключить доступ к ней третьих лиц.
Более того, факт наличия такой информации должен быть зафиксирован без раскрытия содержания перехваченной информации и сообщен руководству в соответствии с установленной процедурой.
В противном случае риски возникают не только у организации, но и у сотрудника службы информационной безопасности – его могут привлечь к ответственности за нарушение тайны переписки (ст. 138 УК РФ), а при определенных условиях также и за неправомерный доступ к компьютерной информации (ст. 272 УК РФ), что подтверждается судебной практикой (постановление суда Еврейской автономной области по нашумевшему делу №22-412/2022 от 23.08.2022).
3) Целесообразно проводить индивидуальные беседы с сотрудниками, в ходе которых разъяснять необходимость использования DLP-системы, в том числе для защиты интересов работника при возникновении трудовых споров или при выявлении признаков злоупотреблений со стороны руководства.
Как показывает практика использования DLP-систем, не все организации проходят процедуру их легитимизации, что создает для компании репутационные и экономические риски. Кроме того, сотрудники, работающие с данными не легитимизированных должным образом DLP-систем, рискуют получить уголовную статью.
Вместе с тем «серые технологии» влекут за собой дополнительные трудности для сотрудников безопасности при легализации (да, именно легализации, т. к. информация получена незаконным путем) сведений, полученных из DLP-системы. Приходится, выражаясь языком оперативников, разыгрывать оперативные комбинации, вести оперативные игры, идти на провокации, чтобы заставить работника открыто скомпрометировать себя какими-либо действиями, которые можно зафиксировать с помощью официально разрешенных средств. Это требует тщательной подготовки и опыта проведения подобных разработок и не гарантирует высоких шансов на успех.
Напротив, в случае неудачи компанию могут привлечь к административной ответственности, сотрудников службы безопасности – к уголовной, так еще и работник, чья личная информация оказалась доступной третьим лицам, через суд может добиться компенсации морального вреда.
В целях минимизации рисков мы рекомендуем легитимизировать DLP-систему. 16 марта сотрудники юридического департамента компании «Ростелеком-Солар» проведут вебинар на тему «5 самых популярных заблуждений при правовом внедрении DLP-системы», где расскажут о проблемах, с которыми сталкиваются на практике сотрудники служб безопасности компаний. Также будут рассмотрены конкретные судебные решения, что позволит более предметно погрузиться в данную область правоотношений.
Итак, какие основные выводы нужно извлечь из статьи:
1) Компания имеет право на защиту своей информации, которая должным образом разграничена с помощью локальных нормативных актов, с использованием DLP-систем.
2) Запрещено собирать и передавать информацию о частной жизни работников третьим лицам (даже своему руководителю). При обнаружении такой информации в DLP-системе ее необходимо удалить, зафиксировать факт передачи таких сведений по каналам коммуникации без раскрытия содержания с целью рассмотрения вопроса о привлечении работника к дисциплинарной ответственности.
3) Недопустимо утаивать от работников факт использования DLP-системы. Необходимо в обязательном порядке известить их об использовании специализированного программного обеспечения для контроля рабочих каналов коммуникаций и рабочих ЭВМ с одновременным уведомлением о запрете обработки личной информации на служебном оборудовании и с использованием служебных ресурсов.
4) Очевидно, что легитимизация DLP-системы снижает для компании риски возможных негативных последствий при использовании полученных с ее помощью данных.
