+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    DLP-система
    18.04.2025

    Внедрение DLP: требования законов и регуляторов к системам информационной безопасности

    Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP и почему.

    Что такое DLP-система?

    DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

    Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной на BIS Summit 2023:

    • 18,3 млрд. скомпрометированных данных в мире за 2023 год, что в 6 раз больше, чем в 2022 году;
    • 705 млн. слитых данных в России за 2023 год, что на 73% больше, чем в 2022 году;
    • 92 утечки крупных баз данных от 100 тыс. записей;
    • с 11% до 30,4% увеличилось количество утечек коммерческих секретов и гостайны.

    Впечатляющие цифры, не правда ли? При этом подавляющая доля информации, утекшей из российских организаций (74%) — это персональные данные.

    Важность внедрения DLP-системы

    Внедрение средств защиты информации преследует следующие цели:

    • Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами.
    • Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов.
    • В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

    Итак, вы решили, что вашему бизнесу просто необходима установка программы о предотвращении утечек и намерены серьезно подойти к решению данного вопроса. С чего начать?

    Как происходит внедрение DLP-системы

    Проведите внутреннее исследование

    Проведите оценочный аудит бизнес-процессов, чтобы узнать, в каком состоянии они находятся и какие доработки по аспектам информационной безопасности внутри компании требуются:

    • Изучите имеющуюся организационно-распорядительную документацию.
    • Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной.
    • Дайте оценку информационным ресурсам компании, распределите их по категориям.
    • Определите перечень должностей и сотрудников, которые имеют право на доступ к секретной информации и детально изложите операции, которые они имеют право выполнять в рамках бизнес-процессов.

    Зачем это нужно? Аудит поможет обнаружить наиболее уязвимые места в корпоративной деятельности и составить полный обзор того, что еще нужно сделать, чтобы в результате получить надежную основу для внедрения DLP-системы в вашей организации.

    Разработайте нормативную документацию

    Для создания нормативных документов необходимо учитывать результаты проведенного исследования. Важным условием для реализации политик информационной безопасности является установление режима коммерческой тайны. Для этого нужно подтвердить документ, в котором указан список информации с ограниченным доступом. Поскольку DLP-система обеспечивает защиту интеллектуальной собственности и нематериальных активов, информация, относящаяся к секретной, должна быть определена в соответствии с законом. Так, согласно статье № 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

    1. произведения науки, литературы и искусства;
    2. программы для ЭВМ;
    3. базы данных;
    4. изобретения;
    5. полезные модели;
    6. промышленные образцы;
    7. селекционные достижения;
    8. топологии интегральных микросхем;
    9. секреты производства (ноу-хау);
    10. наименования мест происхождения товаров.

    Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

    И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

    Для чего это нужно? Приведем наглядный пример из судебной практики:

    28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов).

    Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

    При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

    Проведите беседу с сотрудниками

    Любой сотрудник будет работать лучше, если знает, что за ним следят на рабочем месте.

    Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные системы такого типа могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе работы персонала, а также позволит оперативно выявить неблагонадежных работников.

    Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

    • разработку регламента мониторинга, в котором подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также ответственность за их нарушение;
    • ознакомление всех сотрудников компании с содержанием этого регламента под роспись.

    Кроме того, в регламенте должно быть указано, как будут использоваться данные, полученные в результате мониторинга, и эта информация должна быть правдивой. Если требуется делать аудио и видеозаписи в рамках мониторинга, то об этом тоже должно быть сказано в регламенте.

    Многие сомневаются в законности систем мониторинга, ссылаясь на статью 23 Конституции РФ, которая говорит о неприкосновенности частной жизни. Но эта статья относится только к личной жизни физического лица и не касается его служебной деятельности.

    Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

    • все средства связи, которые выдаются сотруднику, предназначены только для служебных целей;
    • организация является владельцем электронной почты и телефонного номера, которые даются сотруднику на время работы.

    С другой стороны, работодатель тоже должен соблюдать определенные правила. Например, не допустить умышленный тайный сбор личной информации сотрудников для использования в собственных целях.

    Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

    Для чего нужна DLP-система?

    Для чего это нужно? Контроль над рабочей деятельностью — это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга — это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: 

    «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

    Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

    Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей. Доказательством стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
    В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

    Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

    Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

    Соблюдайте требования ФСТЭК к DLP-системам

    Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК), ответственная за безопасность информационной инфраструктуры, ставит специальные требования к DLP-системам. По методическому документу ФСТЭК России от 11.02.2014 г., меры защиты информации в государственных системах:

    1. должны гарантировать доступность, целостность и при необходимости конфиденциальность информации в автоматизированной системе управления;
    2. должны соответствовать мерам по различным видам безопасности автоматизированной системы управления и объекта или процесса, которыми она управляет;
    3. не должны нарушать нормальный режим работы автоматизированной системы управления.

    По документу, в информационной системе должен быть контроль содержания и передачи информации из системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и запрет на неправомерную передачу информации из системы (ОЦЛ. 5).

    Для выполнения требований функционал современной DLP-системы должен предусматривать:

    • выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
    • выявление фактов неправомерной записи защищаемой информации на неучтенные съемные носители информации и реагирование на них;
    • выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и реагирование на них;
    • выявление фактов неправомерного копирования защищаемой информации в программы из буфера обмена и реагирование на них;
    • контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
    • выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

    Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

    • в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием в течение времени, определяемого оператором;
    • в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.

    Для чего это нужно? Для соблюдения требований регуляторов и избегания проблем. Поэтому рекомендуем разработать политику информационной безопасности на основе нормативных документов и выбирать только лицензированные продукты, соответствующие требованиям регуляторов, например, SecureTower.

    Не останавливайтесь на достигнутом

    Выстраивание грамотной политики безопасности в компании – процесс, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. – должны быть также зафиксированы и отражены в DLP-системе.

    DLP-система Falcongaze SecureTower (Фалконгейз) является эффективным решением для бизнеса в области информационной безопасности. Основная ее задача заключается в обнаружении, контроле и предотвращении потенциальных угроз, защите важных данных и мониторинге сотрудников на их рабочем месте. Ознакомиться с SecureTower можно бесплатно в течение 30 дней. Вся необходимая информация доступна по ссылке.

    Внедряя систему в бизнес, важно понимать, что это инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.

    Важные публикации

    DLP-система - что это такое и зачем нужна?
    DLP-система
    DLP-система - что это такое и зачем нужна?
    DLP-система (от англ. Data Leak Prevention) это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
    Основы информационной безопасности: что такое информационная безопасность?
    Информационная безопасность
    Основы информационной безопасности: что такое информационная безопасность?
    Специалисты аналитического центра Falcongaze SecureTower подготовили статью, в которой объясняются основы информационной безопасности. Она будет полезна всем, кто хочет разобраться, с чего начать знакомство с этой сферой деятельности. Прочитав статью, вы узнаете: точное определение понятия «информационная безопасность»; свойства и способности, которыми должны обладать информация и средства ее обработки; пошаговый перечень общих действий, которые позволят обеспечить информационную безопасность в организации.
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    Обновления SecureTower
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    5 ноября 2024 года мы выпустили обновленную версию DLP-системы SecureTower 7 Helium, в которой была усовершенствована система защиты информации и предотвращения утечек конфиденциальных и персональных данных, а также добавлены новые полезные функции — все для удобства пользователей.
    Дайджест SecureTower: обновления августа 2024 года
    Новости Falcongaze
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    DLP-системы – что это такое и как это работает
    DLP-система
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Управление персоналом
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Информационная безопасность
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита информации
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Что такое CRM-системы управления клиентскими отношениями
    Технологии
    Что такое CRM-системы управления клиентскими отношениями
    CRM (Customer Relationship Management) — это системы управления отношениями, которые помогают компаниям налаживать эффективную коммуникацию с клиентами, повышать уровень обслуживания, усиливать лояльность и увеличивать доходы. Использование CRM в комбинации с DLP – это инвестиция в мощный инструмент в качестве системы управления компанией.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации