Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.
Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.
Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2018 года:
Но это еще не все: по сравнению с первым полугодием 2017 года, случаи утечек конфиденциальных данных увеличились на 72% – с 938,8 млн до 3,3 млрд. Впечатляющие цифры, не правда ли?
Поэтому, внедрение средств защиты информации преследует следующие цели:
Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?
Оцените, в каком состоянии находятся ваши бизнес-процессы на сегодняшний день и какие доработки необходимо произвести в области регулирования информационной безопасности внутри компании:
- изучите имеющуюся организационно-распорядительную документацию;
- согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;
- дайте оценку информационным ресурсам компании, распределите их по категориям:
1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.
2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.
Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.
Разработайте нормативную документацию
На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:
1) произведения науки, литературы и искусства;
2) программы для ЭВМ;
3) базы данных;
<…>
7) изобретения;
8) полезные модели;
9) промышленные образцы;
10) селекционные достижения;
11) топологии интегральных микросхем;
12) секреты производства (ноу-хау)
<…>
15) наименования мест происхождения товаров;
Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.
И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.
Для чего это нужно? Приведем наглядный пример из судебной практики:
28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)
Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.
При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.
Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.
Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:
- разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;
- ознакомление всех сотрудников компании с содержанием регламента под роспись.
Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.
Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:
Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.
Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.
Для чего это нужно? Контроль над рабочей деятельностью - это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга - это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).
Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.
Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.
Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.
Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».
Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.
Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:
Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);
Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;
Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).
Для выполнения требований, функционал современной DLP-системы должен предусматривать:
Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:
Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower.
DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. - должны быть также зафиксированы и отражены в DLP-системе.
Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.