Разбираемся вместе с Ириной Зиновкиной, директором по консалтингу InfoWatch, какими правовыми знаниями вооружиться, чтобы сделать внедрение DLP максимально эффективным для компании, при этом не нарушая закон. Даем 6 простых шагов к обеспечению легитимности и рекомендации, как правильно документировать расследования.

Внедрение средств защиты информации, в частности DLP систем, не ограничивается лишь появлением новой ИТ-системы в инфраструктуре организации. Без предварительной, грамотно организованной работы с информационными активами, подготовки свода внутренних правил и документов нельзя считать, что ИБ в компании организована по-настоящему эффективно.

От того, насколько качественно проработаны правовые аспекты использования DLP, в буквальном смысле зависит, защищены на деле цифровые активы компании, или их можно запросто лишиться безо всяких последствий для виновных лиц. Что нужно принимать в расчет в первую очередь, когда мы говорим о легитимности применения DLP?

Права и обязанности сотрудников и организаций – что о них говорит закон 

Российское законодательство накладывает на работодателя требование защищать доступ к информации. Живой пример – обязанность обеспечивать безопасную обработку персональных данных.

Трудовой кодекс гласит, что работник, в свою очередь, обязан соблюдать трудовую дисциплину и все правила, которые ему предписывает работодатель. Работодатель также имеет право контролировать, чтобы работник выполнял свою работу добросовестно. Однако помимо обязательств перед организацией, у работника есть еще и конституционные права, которые никуда не исчезают, когда речь идет о трудовых отношениях.

Из-за того, что в DLP-систему может попасть личная переписка, работник может пожаловаться на нарушение его конституционных прав, и у работодателя будут проблемы. Кроме того, результаты работы DLP-системы в суде будут просто исключены как доказательства, а сотрудник сможет инициировать в отношении своего работодателя встречный судебный процесс.

Тайна личной жизни и переписки – тот самый краеугольный камень между использованием DLP-системы и соблюдением прав и свобод.

Рабочее место – не личная жизнь? Только для ИБ отдела, но не для суда

Любое мнение о том, что рабочее место – не личная жизнь, остается лишь частным мнением. Да, с одной стороны, работодатель имеет право следить, чтобы в рамках трудовых отношений человек занимался той работой, за которую ему платят. Особенно в постпандемийном мире, когда многие получили ноутбуки и ушли работать из дома, а фактически занимаются не только работой или не только основной работой. Многие работодатели относятся приемлемо и с пониманием, если работник переключает внимание на личные вопросы в рабочее время. Но если дело доходит до судебных разбирательств, то для суда вмешательство в личную жизнь и тайну переписки, пусть и случившейся в рамках рабочего периметра, останется незаконным. 

Рассмотрим возможные сценарии. Например, компания не запретила сотрудникам обрабатывать личную информацию на корпоративном ноутбуке или не уведомила о наличии DLP системы, информация личного характера попала в DLP и сотрудник об этом узнал. Сотрудник имеет основания предъявить претензии работодателю и обратиться в суд за защитой своих прав. 

А что делать, если компания запретила обрабатывать личную информацию, но она все равно попала в DLP? При сборе доказательств лучше не использовать информацию, которая может затронуть личную жизнь сотрудника. Суд может классифицировать такие вещи как тайну частной жизни и тайну переписки, слишком уж неоднозначно законодательство в этом вопросе. Об этом же свидетельствует и статистика из российской судебной практики – по одному и тому же делу можно встретить диаметрально разные трактовки судов. Поэтому единственный способ для работодателей обезопасить себя – закрыть внутренними политиками безопасности и подробной документацией любые возможные варианты использования информационных активов.

6 ШАГОВ для легитимного применения DLP

Что нужно сделать любой компании вне зависимости от того, чем она занимается, для того, чтобы обеспечить легитимность применения DLP-системы.

1

Выявление конфиденциальной информации и ее категорирование. Необходимо понимать, что защищаем

Не только легитимность, но и в целом построение системы защиты от утечек начинается с того, чтобы создать реестр информационных активов, который даст четкое понимание: какая ценная информация есть, как обрабатывается, от кого приходит, кому вовне и внутри может переправляться и т.д. После этого следует не менее важный этап – всю выявленную информацию необходимо категорировать. Во-первых, это позволит понимать, как защищать ту или иную категорию– требования к передаче, хранению, печати и т.д. могут быть разные. Во-вторых, требуется дать сотрудникам четкое понимание, как обращаться с теми или иными категориями.

2

Для каждой категории информации должны быть зафиксированы четкие и подробные правила обращения с ней 

Правила должны быть зафиксированы в своде внутренних документов компании, и сотрудники должны быть с ними ознакомлены под подпись. Чем детальнее будут описаны правила, тем меньше проблем будет в будущем.

Лучше приложить усилия «на берегу» и создать максимально подробные документы, например, инструкции по категорированию информации, чем оставлять недоработки в виде спорных моментов и лазеек, ставящих под угрозу информационные активы. Разумеется, свод правил – это не константа, они должны постоянно актуализироваться. Но подробное описание как подход должно присутствовать с самого начала. Не стоит также пренебрегать любой возможностью обучить, «разжевать» сотрудникам правила работы с конфиденциальными данными столько раз, сколько организация может себе позволить.

Человек, оспаривающий в суде свое незаконное увольнение, может аргументировать тем, будто он не знал, что нельзя переправлять информацию, относящуюся к определенной категории. «В документах об этом было написано как-то размыто, мне не понятно и вообще я не знал, что эта категория А, а не Б», - частые доводы в подобных ситуациях.

3

Необходимо грамотно установить в организации режим мониторинга и контроля

Помимо приказа о вводе системы в эксплуатацию рекомендуем создать отдельно регламент мониторинга и контроля, в котором будут прописаны основные принципы мониторинга. Суть такого регламента должна сводиться к тому, чтобы установить каналы, которые мониторятся, технологии, которые для этого используются, а также задать вектор для реагирования на инциденты.

4

Правильно уведомляем сотрудников

Для этого можно использовать соглашение о мониторинге и контроле, а можно ограничиться уведомлением.

Несмотря на то, что выше было упомянуто о необходимости ознакомления сотрудников с политиками безопасности под подпись, судебная практика подтверждает, что простого уведомления достаточно. Это особенно актуально сейчас для больших, распределенных компаний, для коллективов, работающих на удаленке. Когда сотрудники работают из дома, довольно затруднительно отправить ко всем курьеров, чтобы взять подписи. Такие уведомления можно разместить как этап перед входом в корпоративные системы. Каждая организация должна выбрать для себя наиболее приемлемый способ. Главное, чтобы факт того, что сотрудник точно видел уведомление, был легко доказуем в суде. 

5

Стоит дополнительно написать о мониторинге в трудовых договорах

Не стоит забывать об актуализации текстов трудовых договоров – пропишите в них, что осуществляется мониторинг с помощью DLP-системы. Суды принимают это во внимание.

Кроме того, в должностных инструкциях людей, сидящих за консолью DLP-системы, тех самых «офицеров безопасности», также должны содержаться цели, ради которых осуществляется мониторинг сотрудников, - то есть выявление утечек конфиденциальной информации, предотвращение случаев мошенничества и т.д. 

6

Ничего личного на корпоративных ресурсах

Чуть ли не главный принцип, который должен быть фундаментом свода правил информационной безопасности в любой организации. При разработке правил и требований, разграничивающих корпоративное и личное, стоит прописать, что никакой личной информации на рабочих ПК обрабатываться не должно. 

Бумажная безопасность – это та часть работы, которая раздражает почти всех безопасников. Но избежать ее невозможно, если нужно построить действительно эффективную ИБ в компании.  

Как правильно задокументировать расследование

Но этапе документирования служебного расследования часто встречаются трудности: рассогласованность действий смежных подразделений при предоставлении данных для расследования, ошибки при оформлении документов, необходимость уложиться в сроки, которые отводятся на расследование трудовым законодательством, отсутствие официальных дисциплинарных мер и т.д.

Любой суд попросит в первую очередь предоставить все документы, касающиеся служебного расследования, к которым относятся регламенты, служебные обязанности, объяснительные записки, приказы, резолюции, записи о дисциплинарных взысканиях и т.д. 

Суд вправе удовлетворить жалобу работника на незаконное увольнение, если перечисленные документы не будут предоставлены работодателем. Как бы сильно человек ни был виноват, доказать это без надлежащим образом оформленных документов будет очень сложно или даже невозможно. Кроме того, не стоит пренебрегать отведенным 30-дневным сроком на расследование инцидентов. Судебная практика в этом вопросе противоречива, и можно встретить как случаи, когда суд принимает доказательства, собранные по истечении 30 дней, так и случаи, их отклонения. 

И еще несколько рекомендаций. Что понадобится помимо документов по служебному расследованию

+ DLP-система должна иметь сертификат ФСТЭК. Сертификаты есть у вендора DLP, их тоже нужно предоставлять в суд.

+ Можно привлечь нотариуса к снятию доказательной базы и участию в судебном процессе. Выгрузки из DLP-системы не всегда являются понятными и привычными документами для сотрудников суда. Но если они нотариально заверены, то приобретают другой статус. Как верифицировать выгрузки из DLP с помощью нотариуса? С момента входа в систему сделайте скриншоты каждого этапа: переход по такому-то адресу, залогинивание в DLP и так вплоть до перехода на конкретное событие. Пусть нотариус заверит каждый скриншот. Для суда это станет подтверждением того, что все было именно так, как описано, и документы не сфальсифицированы. Мера может показаться избыточной, но она спасла не один случай.

+ «Это вообще был не я». Иногда бывает необходимо доказать, что во время нарушения политик безопасности каким-либо сотрудником, этот сотрудник действительно сидел под своей учетной записью в это же самое время. Это становится сложнее сделать, если человек работал из дома. Записи с камер, показания свидетелей, объяснительные записки, любые другие доказательства вам в помощь.

+ Привлекайте консалтинг вендора DLP! На стороне вендора огромный опыт общения с заказчиками, составления документов, решения самых разных задач. Грамотный вендор никогда не откажется поделиться этим опытом и оказать нужную поддержку. Это поможет правильно решить вопросы с легитимностью, обойти подводные камни, извлечь пользу из чужой судебной практики, воспользоваться агрегированным опытом, вместо набивания собственных шишек и в конечном итоге сэкономить много времени и средств.