Внедрение DLP: требования законов и регуляторов к системам информационной безопасности

Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP и почему.

Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной на BIS Summit 2023:

• 18,3 млрд. скомпрометированных данных в мире за 2023 год, что в 6 раз больше, чем в 2022 году;
• 705 млн. слитых данных в России за 2023 год, что на 73% больше, чем в 2022 году;
• 92 утечки крупных баз данных от 100 тыс. записей;
• с 11% до 30,4% увеличилось количество утечек коммерческих секретов и гостайны.

Впечатляющие цифры, не правда ли? При этом подавляющая доля информации, утекшей из российских организаций (74%) — это персональные данные.

Важность внедрения DLP-системы

Внедрение средств защиты информации преследует следующие цели:

• Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами.
• Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов.
• В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

Итак, вы решили, что вашему бизнесу просто необходима установка программы о предотвращении утечек и намерены серьезно подойти к решению данного вопроса. С чего начать?

Как происходит внедрение DLP-системы

• Проведите внутреннее исследование

   

  Проведите оценочный аудит бизнес-процессов, чтобы узнать, в каком состоянии они находятся и какие доработки по аспектам информационной безопасности внутри компании требуются:

  • Изучите имеющуюся организационно-распорядительную документацию.
  • Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной.
  • Дайте оценку информационным ресурсам компании, распределите их по категориям.
  • Определите перечень должностей и сотрудников, которые имеют право на доступ к секретной информации и детально изложите операции, которые они имеют право выполнять в рамках бизнес-процессов.

  Зачем это нужно? Аудит поможет обнаружить наиболее уязвимые места в корпоративной деятельности и составить полный обзор того, что еще нужно сделать, чтобы в результате получить надежную основу для внедрения DLP-системы в вашей организации.

• Разработайте нормативную документацию

   

  Для создания нормативных документов необходимо учитывать результаты проведенного исследования. Важным условием для реализации политик информационной безопасности является установление режима коммерческой тайны. Для этого нужно подтвердить документ, в котором указан список информации с ограниченным доступом. Поскольку DLP-система обеспечивает защиту интеллектуальной собственности и нематериальных активов, информация, относящаяся к секретной, должна быть определена в соответствии с законом. Так, согласно статье № 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

  1. произведения науки, литературы и искусства;
  2. программы для ЭВМ;
  3. базы данных;
  4. изобретения;
  5. полезные модели;
  6. промышленные образцы;
  7. селекционные достижения;
  8. топологии интегральных микросхем;
  9. секреты производства (ноу-хау);
  10. наименования мест происхождения товаров.

  Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

  И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

Для чего это нужно? Приведем наглядный пример из судебной практики:

28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов).

Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

Проведите беседу с сотрудниками

Любой сотрудник будет работать лучше, если знает, что за ним следят на рабочем месте.

Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные системы такого типа могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе работы персонала, а также позволит оперативно выявить неблагонадежных работников.

Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

• разработку регламента мониторинга, в котором подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также ответственность за их нарушение;
• ознакомление всех сотрудников компании с содержанием этого регламента под роспись.

Кроме того, в регламенте должно быть указано, как будут использоваться данные, полученные в результате мониторинга, и эта информация должна быть правдивой. Если требуется делать аудио и видеозаписи в рамках мониторинга, то об этом тоже должно быть сказано в регламенте.

Многие сомневаются в законности систем мониторинга, ссылаясь на статью 23 Конституции РФ, которая говорит о неприкосновенности частной жизни. Но эта статья относится только к личной жизни физического лица и не касается его служебной деятельности.

Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

• все средства связи, которые выдаются сотруднику, предназначены только для служебных целей;
• организация является владельцем электронной почты и телефонного номера, которые даются сотруднику на время работы.

С другой стороны, работодатель тоже должен соблюдать определенные правила. Например, не допустить умышленный тайный сбор личной информации сотрудников для использования в собственных целях.

Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

Для чего нужна DLP-система?

Для чего это нужно? Контроль над рабочей деятельностью — это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга — это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: 

«28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей. Доказательством стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

Соблюдайте требования ФСТЭК к DLP-системам

Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК), ответственная за безопасность информационной инфраструктуры, ставит специальные требования к DLP-системам. По методическому документу ФСТЭК России от 11.02.2014 г., меры защиты информации в государственных системах:

1. должны гарантировать доступность, целостность и при необходимости конфиденциальность информации в автоматизированной системе управления;
2. должны соответствовать мерам по различным видам безопасности автоматизированной системы управления и объекта или процесса, которыми она управляет;
3. не должны нарушать нормальный режим работы автоматизированной системы управления.

По документу, в информационной системе должен быть контроль содержания и передачи информации из системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и запрет на неправомерную передачу информации из системы (ОЦЛ. 5).

Для выполнения требований функционал современной DLP-системы должен предусматривать:

• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные носители информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в программы из буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием в течение времени, определяемого оператором;
• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.

Для чего это нужно? Для соблюдения требований регуляторов и избегания проблем. Поэтому рекомендуем разработать политику информационной безопасности на основе нормативных документов и выбирать только лицензированные продукты, соответствующие требованиям регуляторов, например, SecureTower.

Не останавливайтесь на достигнутом

Выстраивание грамотной политики безопасности в компании – процесс, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. – должны быть также зафиксированы и отражены в DLP-системе.

DLP-система Falcongaze SecureTower (Фалконгейз) является эффективным решением для бизнеса в области информационной безопасности. Основная ее задача заключается в обнаружении, контроле и предотвращении потенциальных угроз, защите важных данных и мониторинге сотрудников на их рабочем месте. Ознакомиться с SecureTower можно бесплатно в течение 30 дней. Вся необходимая информация доступна по ссылке.

Внедряя систему в бизнес, важно понимать, что это инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.