Получить консультацию по Solar Dozor

Автор:
Сергей Волгин,
Аналитик Центра продуктов Дозор, «Ростелеком-Солар»

В условиях повышенного внимания организаций к защите коммерческих сведений и персональных данных вопросы законности использования данных из DLP-систем приобретают все большую актуальность, о чем свидетельствует рост числа судебных прецедентов и многочисленных публикаций, связанных с этой темой.

Для того чтобы у сотрудников юридических подразделений, служб собственной и информационной безопасности появилось предметное понимание ситуации, рассмотрим законодательные основания для использования в организации DLP-системы.

Принципами правового регулирования отношений в сфере информации, информационных технологий и защиты информации, согласно ст. 3 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (149-ФЗ), в частности, являются:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

Иными словами, информация, если она не относится к частной жизни, может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к ней либо иные требования к порядку ее предоставления или распространения.

В соответствии со ст. 6 149-ФЗ обладателем информации может быть и юридическое лицо. Обладатель информации при этом вправе:

1) принимать меры по защите информации, ограничивать доступ к информации, если такая обязанность установлена федеральными законами;

2) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа. Это означает, что посредством разграничения доступа законодатель дает право юридическому лицу обеспечивать безопасность информации, обладателем которой оно является;

3) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования (к примеру, привлекать виновных к дисциплинарной ответственности, обращаться в правоохранительные органы и/или в суд и т. д.).

При этом обладатель информации при защите своих прав обязан соблюдать права и законные интересы иных лиц.

Учитывая перечисленные положения законодательства, можно констатировать, что юридическое лицо, работая с информацией, обязано установить правила работы с ней и разграничить к ней доступ. В противном случае привлечь к ответственности юридическое лицо и его работников, которые распространили конфиденциальную информацию, будет очень трудно.

Законодатель возложил на обладателей информации обязанности по ее защите. Этот процесс предусматривает принятие ими правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, ее уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Требования по защите информации, которые законодатель предъявляет обладателю информации, представлены в таблице 1.

Таблица 1.
Требования по защите информации, указанные в п. 4 ст. 16 149-ФЗ, применительно к функционалу DLP-систем.

1

Своевременное обнаружение фактов несанкционированного доступа к информации

Требование покрывается полностью с помощью DLP-cистем

2

Предотвращение несанкционированного доступа к информации и передачи ее лицам, не имеющим права на доступ к ней

Требование покрывается полностью с помощью DLP-cистем

3

Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации

Требование покрывается полностью с помощью DLP-cистем

4

Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование

Требование покрывается частично с помощью DLP-cистем

5

Постоянный контроль за обеспечением уровня защищенности информации

Требование покрывается полностью с помощью DLP-cистем

6

Нахождение на территории Российской Федерации баз данных, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации

Требование покрывается полностью с помощью DLP-cистем

7

Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней

Требование покрывается частично с помощью DLP-cистем

Как можно заметить, практически все обязанности по защите своей информации организация может выполнить с помощью DLP-системы.

Отсюда вытекает логичный вопрос: можно ли использовать данные из системы для защиты интересов организации?

Да, можно, но при выполнении некоторых условий, о которых скажем ниже.

Как отмечалось ранее, защита информации должна осуществляться без нарушения неприкосновенности частной жизни, а это значит, что собирать, хранить, использовать и распространять информацию о частной жизни лица без его согласия недопустимо. Также недопустимо требовать от работника согласия на сбор указанных сведений, так как они не имеют прямого отношения к деятельности организации. Следовательно, работодатель не должен скрывать от своих сотрудников факт использования DLP-системы, для чего правовые отношения с ними необходимо четко регламентировать, а именно:

1) Уведомить работников о том, что на выданной им для исполнения трудовых обязанностей ЭВМ может быть установлено специализированное программное обеспечение, задача которого – контролировать обрабатываемую информацию, обладателем которой является работодатель.

2) Установить запрет на обработку сотрудниками личной информации, не относящейся к исполняемым ими обязанностям, с помощью служебной техники и ресурсов. Необходимо указать, что в случае обнаружения такой информации сотрудника могут привлечь к дисциплинарной ответственности, а личная информация в обязательном порядке будет удалена из системы, чтобы исключить доступ к ней третьих лиц.

Более того, факт наличия такой информации должен быть зафиксирован без раскрытия содержания перехваченной информации и сообщен руководству в соответствии с установленной процедурой.

В противном случае риски возникают не только у организации, но и у сотрудника службы информационной безопасности – его могут привлечь к ответственности за нарушение тайны переписки (ст. 138 УК РФ), а при определенных условиях также и за неправомерный доступ к компьютерной информации (ст. 272 УК РФ), что подтверждается судебной практикой (постановление суда Еврейской автономной области по нашумевшему делу №22-412/2022 от 23.08.2022).

3) Целесообразно проводить индивидуальные беседы с сотрудниками, в ходе которых разъяснять необходимость использования DLP-системы, в том числе для защиты интересов работника при возникновении трудовых споров или при выявлении признаков злоупотреблений со стороны руководства.

Как показывает практика использования DLP-систем, не все организации проходят процедуру их легитимизации, что создает для компании репутационные и экономические риски. Кроме того, сотрудники, работающие с данными не легитимизированных должным образом DLP-систем, рискуют получить уголовную статью.

Вместе с тем «серые технологии» влекут за собой дополнительные трудности для сотрудников безопасности при легализации (да, именно легализации, т. к. информация получена незаконным путем) сведений, полученных из DLP-системы. Приходится, выражаясь языком оперативников, разыгрывать оперативные комбинации, вести оперативные игры, идти на провокации, чтобы заставить работника открыто скомпрометировать себя какими-либо действиями, которые можно зафиксировать с помощью официально разрешенных средств. Это требует тщательной подготовки и опыта проведения подобных разработок и не гарантирует высоких шансов на успех.

Напротив, в случае неудачи компанию могут привлечь к административной ответственности, сотрудников службы безопасности – к уголовной, так еще и работник, чья личная информация оказалась доступной третьим лицам, через суд может добиться компенсации морального вреда.

В целях минимизации рисков мы рекомендуем легитимизировать DLP-систему. 16 марта сотрудники юридического департамента компании «Ростелеком-Солар» проведут вебинар на тему «5 самых популярных заблуждений при правовом внедрении DLP-системы», где расскажут о проблемах, с которыми сталкиваются на практике сотрудники служб безопасности компаний. Также будут рассмотрены конкретные судебные решения, что позволит более предметно погрузиться в данную область правоотношений.

Итак, какие основные выводы нужно извлечь из статьи:

1) Компания имеет право на защиту своей информации, которая должным образом разграничена с помощью локальных нормативных актов, с использованием DLP-систем.

2) Запрещено собирать и передавать информацию о частной жизни работников третьим лицам (даже своему руководителю). При обнаружении такой информации в DLP-системе ее необходимо удалить, зафиксировать факт передачи таких сведений по каналам коммуникации без раскрытия содержания с целью рассмотрения вопроса о привлечении работника к дисциплинарной ответственности.

3) Недопустимо утаивать от работников факт использования DLP-системы. Необходимо в обязательном порядке известить их об использовании специализированного программного обеспечения для контроля рабочих каналов коммуникаций и рабочих ЭВМ с одновременным уведомлением о запрете обработки личной информации на служебном оборудовании и с использованием служебных ресурсов.

4) Очевидно, что легитимизация DLP-системы снижает для компании риски возможных негативных последствий при использовании полученных с ее помощью данных.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Защита финансовой информации: как избежать утечек

Защита финансовой информации: как избежать утечек

Узнать больше
Видеоконференцсвязь (ВКС): основные понятия и принципы работы

Видеоконференцсвязь (ВКС): основные понятия и принципы работы

Узнать больше