Внедрение DLP: требования законов и регуляторов к системам информационной безопасности
Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP и почему.
Что такое DLP-система?
DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.
Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной на BIS Summit 2023:
- 18,3 млрд. скомпрометированных данных в мире за 2023 год, что в 6 раз больше, чем в 2022 году;
- 705 млн. слитых данных в России за 2023 год, что на 73% больше, чем в 2022 году;
- 92 утечки крупных баз данных от 100 тыс. записей;
- с 11% до 30,4% увеличилось количество утечек коммерческих секретов и гостайны.
Впечатляющие цифры, не правда ли? При этом подавляющая доля информации, утекшей из российских организаций (74%) — это персональные данные.
Важность внедрения DLP-системы
Внедрение средств защиты информации преследует следующие цели:
- Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами.
- Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов.
- В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.
Итак, вы решили, что вашему бизнесу просто необходима установка программы о предотвращении утечек и намерены серьезно подойти к решению данного вопроса. С чего начать?
Как происходит внедрение DLP-системы
Проведите внутреннее исследование
Проведите оценочный аудит бизнес-процессов, чтобы узнать, в каком состоянии они находятся и какие доработки по аспектам информационной безопасности внутри компании требуются:
- Изучите имеющуюся организационно-распорядительную документацию.
- Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной.
- Дайте оценку информационным ресурсам компании, распределите их по категориям.
- Определите перечень должностей и сотрудников, которые имеют право на доступ к секретной информации и детально изложите операции, которые они имеют право выполнять в рамках бизнес-процессов.
Зачем это нужно? Аудит поможет обнаружить наиболее уязвимые места в корпоративной деятельности и составить полный обзор того, что еще нужно сделать, чтобы в результате получить надежную основу для внедрения DLP-системы в вашей организации.
Разработайте нормативную документацию
Для создания нормативных документов необходимо учитывать результаты проведенного исследования. Важным условием для реализации политик информационной безопасности является установление режима коммерческой тайны. Для этого нужно подтвердить документ, в котором указан список информации с ограниченным доступом. Поскольку DLP-система обеспечивает защиту интеллектуальной собственности и нематериальных активов, информация, относящаяся к секретной, должна быть определена в соответствии с законом. Так, согласно статье № 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:
- произведения науки, литературы и искусства;
- программы для ЭВМ;
- базы данных;
- изобретения;
- полезные модели;
- промышленные образцы;
- селекционные достижения;
- топологии интегральных микросхем;
- секреты производства (ноу-хау);
- наименования мест происхождения товаров.
Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.
И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.
Для чего это нужно? Приведем наглядный пример из судебной практики:
28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов).
Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.
При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.
Проведите беседу с сотрудниками
Любой сотрудник будет работать лучше, если знает, что за ним следят на рабочем месте.
Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные системы такого типа могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе работы персонала, а также позволит оперативно выявить неблагонадежных работников.
Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:
- разработку регламента мониторинга, в котором подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также ответственность за их нарушение;
- ознакомление всех сотрудников компании с содержанием этого регламента под роспись.
Кроме того, в регламенте должно быть указано, как будут использоваться данные, полученные в результате мониторинга, и эта информация должна быть правдивой. Если требуется делать аудио и видеозаписи в рамках мониторинга, то об этом тоже должно быть сказано в регламенте.
Многие сомневаются в законности систем мониторинга, ссылаясь на статью 23 Конституции РФ, которая говорит о неприкосновенности частной жизни. Но эта статья относится только к личной жизни физического лица и не касается его служебной деятельности.
Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:
- все средства связи, которые выдаются сотруднику, предназначены только для служебных целей;
- организация является владельцем электронной почты и телефонного номера, которые даются сотруднику на время работы.
С другой стороны, работодатель тоже должен соблюдать определенные правила. Например, не допустить умышленный тайный сбор личной информации сотрудников для использования в собственных целях.
Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.
Для чего нужна DLP-система?
Для чего это нужно? Контроль над рабочей деятельностью — это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга — это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации:
«28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).
Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.
Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей. Доказательством стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.
Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».
Соблюдайте требования ФСТЭК к DLP-системам
Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК), ответственная за безопасность информационной инфраструктуры, ставит специальные требования к DLP-системам. По методическому документу ФСТЭК России от 11.02.2014 г., меры защиты информации в государственных системах:
- должны гарантировать доступность, целостность и при необходимости конфиденциальность информации в автоматизированной системе управления;
- должны соответствовать мерам по различным видам безопасности автоматизированной системы управления и объекта или процесса, которыми она управляет;
- не должны нарушать нормальный режим работы автоматизированной системы управления.
По документу, в информационной системе должен быть контроль содержания и передачи информации из системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и запрет на неправомерную передачу информации из системы (ОЦЛ. 5).
Для выполнения требований функционал современной DLP-системы должен предусматривать:
- выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
- выявление фактов неправомерной записи защищаемой информации на неучтенные съемные носители информации и реагирование на них;
- выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и реагирование на них;
- выявление фактов неправомерного копирования защищаемой информации в программы из буфера обмена и реагирование на них;
- контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
- выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).
Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:
- в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием в течение времени, определяемого оператором;
- в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.
Для чего это нужно? Для соблюдения требований регуляторов и избегания проблем. Поэтому рекомендуем разработать политику информационной безопасности на основе нормативных документов и выбирать только лицензированные продукты, соответствующие требованиям регуляторов, например, SecureTower.
Не останавливайтесь на достигнутом
Выстраивание грамотной политики безопасности в компании – процесс, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. – должны быть также зафиксированы и отражены в DLP-системе.
DLP-система Falcongaze SecureTower (Фалконгейз) является лучшим решением для бизнеса в области защиты информационной безопасности. Основная ее задача заключается в обнаружении, контроле и предотвращении потенциальных угроз, защите важных данных и мониторинге сотрудников на их рабочем месте. Ознакомиться с SecureTower можно бесплатно в течение 30 дней. Вся необходимая информация доступна по ссылке.
Внедряя систему в бизнес, важно понимать, что это инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.