Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP и почему.
DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.
Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной на BIS Summit 2023:
Впечатляющие цифры, не правда ли? При этом подавляющая доля информации, утекшей из российских организаций (74%) — это персональные данные.
Внедрение средств защиты информации преследует следующие цели:
Итак, вы решили, что вашему бизнесу просто необходима установка программы о предотвращении утечек и намерены серьезно подойти к решению данного вопроса. С чего начать?
Проведите внутреннее исследование
Проведите оценочный аудит бизнес-процессов, чтобы узнать, в каком состоянии они находятся и какие доработки по аспектам информационной безопасности внутри компании требуются:
Зачем это нужно? Аудит поможет обнаружить наиболее уязвимые места в корпоративной деятельности и составить полный обзор того, что еще нужно сделать, чтобы в результате получить надежную основу для внедрения DLP-системы в вашей организации.
Разработайте нормативную документацию
Для создания нормативных документов необходимо учитывать результаты проведенного исследования. Важным условием для реализации политик информационной безопасности является установление режима коммерческой тайны. Для этого нужно подтвердить документ, в котором указан список информации с ограниченным доступом. Поскольку DLP-система обеспечивает защиту интеллектуальной собственности и нематериальных активов, информация, относящаяся к секретной, должна быть определена в соответствии с законом. Так, согласно статье № 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:
Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.
И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.
Для чего это нужно? Приведем наглядный пример из судебной практики:
28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов).
Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.
При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.
Проведите беседу с сотрудниками
Любой сотрудник будет работать лучше, если знает, что за ним следят на рабочем месте.
Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные системы такого типа могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе работы персонала, а также позволит оперативно выявить неблагонадежных работников.
Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:
Кроме того, в регламенте должно быть указано, как будут использоваться данные, полученные в результате мониторинга, и эта информация должна быть правдивой. Если требуется делать аудио и видеозаписи в рамках мониторинга, то об этом тоже должно быть сказано в регламенте.
Многие сомневаются в законности систем мониторинга, ссылаясь на статью 23 Конституции РФ, которая говорит о неприкосновенности частной жизни. Но эта статья относится только к личной жизни физического лица и не касается его служебной деятельности.
Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:
С другой стороны, работодатель тоже должен соблюдать определенные правила. Например, не допустить умышленный тайный сбор личной информации сотрудников для использования в собственных целях.
Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.
Для чего это нужно? Контроль над рабочей деятельностью — это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга — это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации:
«28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).
Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.
Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей. Доказательством стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.
Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».
Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК), ответственная за безопасность информационной инфраструктуры, ставит специальные требования к DLP-системам. По методическому документу ФСТЭК России от 11.02.2014 г., меры защиты информации в государственных системах:
По документу, в информационной системе должен быть контроль содержания и передачи информации из системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и запрет на неправомерную передачу информации из системы (ОЦЛ. 5).
Для выполнения требований функционал современной DLP-системы должен предусматривать:
Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:
Для чего это нужно? Для соблюдения требований регуляторов и избегания проблем. Поэтому рекомендуем разработать политику информационной безопасности на основе нормативных документов и выбирать только лицензированные продукты, соответствующие требованиям регуляторов, например, SecureTower.
Выстраивание грамотной политики безопасности в компании – процесс, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. – должны быть также зафиксированы и отражены в DLP-системе.
DLP-система Falcongaze SecureTower (Фалконгейз) является лучшим решением для бизнеса в области защиты информационной безопасности. Основная ее задача заключается в обнаружении, контроле и предотвращении потенциальных угроз, защите важных данных и мониторинге сотрудников на их рабочем месте. Ознакомиться с SecureTower можно бесплатно в течение 30 дней. Вся необходимая информация доступна по ссылке.
Внедряя систему в бизнес, важно понимать, что это инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.