Внедрение DLP: требования законов и регуляторов к системам информационной безопасности

Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.

Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2018 года:

• 18,5  миллиона случаев утечки данных в сутки;

• 771,9  случаев утечки данных в час;

• 12,8  утечек данных в минуту;

• 214 случаев утечки данных каждую секунду.

Но это еще не все: по сравнению с первым полугодием 2017 года, случаи утечек конфиденциальных данных увеличились на 72% – с 938,8 млн до 3,3 млрд. Впечатляющие цифры, не правда ли?

Поэтому, внедрение средств защиты информации преследует следующие цели:

• Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами;

• Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов;

• В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?

Проведите внутреннее исследование

Оцените, в каком состоянии находятся ваши бизнес-процессы на сегодняшний день и какие доработки необходимо произвести в области регулирования информационной безопасности внутри компании:

- изучите имеющуюся организационно-распорядительную документацию;

- согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;

- дайте оценку информационным ресурсам компании, распределите их по категориям:

1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.

2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.

Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.

Разработайте нормативную документацию

На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

1) произведения науки, литературы и искусства;

2) программы для ЭВМ;

3) базы данных;

<…>

7) изобретения;

8) полезные модели;

9) промышленные образцы;

10) селекционные достижения;

11) топологии интегральных микросхем;

12) секреты производства (ноу-хау)

<…>

15) наименования мест происхождения товаров;

Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

Для чего это нужно? Приведем наглядный пример из судебной практики:

28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)

Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

Проведите беседу с сотрудниками

Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.

Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

- разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;

- ознакомление всех сотрудников компании с содержанием регламента под роспись.

Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.

Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

•      все средства коммуникации, переданные в пользование сотруднику, предназначены только для выполнения должностных обязанностей;

•      владельцем электронной почты и абонентом телефонной сети является организация, таким образом, они предоставляются работнику во временное пользование в период выполнения служебных обязанностей.

Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.

Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

Для чего это нужно? Контроль над рабочей деятельностью - это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга - это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

Соблюдайте требования ФСТЭК к DLP-системам

Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.

Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:

1. Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);

2. Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;

3. Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).

Для выполнения требований, функционал современной DLP-системы должен предусматривать:

• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;

• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;

• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;

• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;

• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

 

Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;

• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.

Для чего это нужно?

Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower. 

Не останавливайтесь на достигнутом

DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. - должны   быть также зафиксированы и отражены в DLP-системе.

Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.