DLP: а это вообще легально?

DLP: а это вообще легально?
Сегодня разберем два провокационных вопроса. Нужно ли легализовать систему DLP  и как ее легализовать. Давайте зафиксируем, что в этой статье под DLP я подразумеваю любой инструмент мониторинга активности пользователей с функционалом предотвращения или без него.

Итак, вы хотите внедрить или уже внедрили систему. Как это влияет на отношения работник-работодатель и надо ли вносить изменения в действующие документы? А,  может быть, даже издавать новые документы.
Чтобы ответить на этой вопрос, предлагаю сначала посмотреть на вопрос с другой стороны.

Вы (как работник) устраиваетесь на работу в компанию (давайте будем считать, что компания исключительно коммерческая и сразу исключим вопросы, связанные с государственной тайной и пр.). Давайте даже будем считать, что исключительно на белую зарплату и строго по трудовому договору. В таком случае вы явно подпишете в день приема множество бумаг, половина из которых вам будет непонятна или понятна, но непонятна ценность этих бумаг.

Начинаются ваши трудовые будни, и бОльшую часть времени вы проводите за компьютером, полученным от работодателя. Вам поступают задачи, вы их решаете за этим самым компьютером. Или же вы ставите задачи, а другие их решают. Но в любом случае суть в том, что работа ваша протекает за компьютером, который вам выдал работодатель.

Здесь мы подходим к тому, что все прекрасно понимают, что любая компания в той или иной степени тратит ресурсы и средства на обеспечение своей безопасности, будь то физическая, экономическая или информационная.

Мало кто, наверное, станет оспаривать получение электронного пропуска и обязанность брать везде его с собой и пользоваться им для прохода в офис или перемещения в пределах офиса. Хотя мы знаем много примеров, когда данные СКУД используются в компаниях для учета рабочего времени сотрудников и, например, в случае опозданий работник сможет почувствовать финансовые санкции от работодателя.

Тем не менее, отторжения и сопротивления у нас это не вызывает.


Или, мы же все понимаем, что выносить стационарный компьютер с работы – это плохо. И, если мы задумаем такую операцию, на выходе из офиса нас абсолютно правомерно остановит сотрудник безопасности.

Однако контроль действий пользователя за рабочим компьютерам с теми же целями контроля рабочего времени и  обеспечения безопасности у многих по-прежнему вызывает бурю негативных эмоций. Почему же?

Все из-за того, что множество компаний предпочитают не использовать режим запрета в отношении внешних доступов сотрудников, а дают возможность неограниченного интернета, подключения внешних устройств, использования различных мессенджеров. А бесплатный интернет всегда привлекателен!

В попытках расслабиться на рабочем месте мы ходим в интернет, ползаем по сайтам в поисках резиновых сапог и новых смартфонов, переписываемся с друзьями в фейсбуке, мониторим свои личные почтовые ящики на гугле, ведем в них же переписку с родственниками и друзьями.

И именно здесь скрывается опасность. Такими манипуляциями мы сами обеспечиваем работодателю разглашение своей личной информации, включая пароли и тп.

В такой ситуации работодатель будет ли виноват и можно ли его упрекнуть за слежку за сотрудниками? По сути, конечно, нет, но юридически — да.

Поэтому как юрист скажу, что легализовать DLP в компании можно и нужно.


Другая ситуация, более интересная для работодателя. Как уволить сотрудника, например, за разглашение коммерческой тайны? Или даже подать на него заявление в правоохранительные или судебные органы.
Для начала нам нужно понять и зафиксировать, а что мы будем защищать. Из федерального закона 98-ФЗ мало что можно использовать на практике, но зато в нем четко указано, что о коммерческой тайне можно говорить только тогда, когда в компании введен режим коммерческой тайны.


Здесь мне не хочется высыпать много теории и ссылок на законы, но главное, что в компании должен быть принят основополагающий документ – Положение о коммерческой тайне (вариантов наименований тоже немало, это просто одно из них).

Оно регулирует основные тезисы и закрепляет, что считается коммерческой тайной, в чем она выражается, в каких документах скрывается, а также что с ней делать можно, а что — нельзя.

Не менее важно  наличие перечня сведений, отнесенных к коммерческой тайне.

В нем должны быть четкие категории информации, и сам перечень не найден в интернете, а сформирован на основе реальных документов, имеющихся в компании, иными словами — активов компании.

Наличие этих двух документов — это уже 50% успеха.

Если посмотреть многочисленную судебную практику, то увидим немало случаев, когда работодатель пытался уволить или привлечь сотрудника к ответственности за разглашение коммерческой тайны, а тайны-то и нет. Не приняты были в компании документы, устанавливающие режим и раскрывающие, что является коммерческой тайной в компании.

Следующим номером будет, безусловно, обязательство о неразглашении, подписанное сотрудником и содержащее в себе ссылку на Положение о КТ. Оно подписывается одновременно с заключением трудового договора  или в момент введения в действие для уже работающих сотрудников.


Возможно, кто-то включит в перечень обязанностей работника в трудовом договоре соответствующий пункт, что также будет правильным, но не исключающим подписания обязательства о неразглашении.

Далее идет самый значимый документ, я бы сказала, документ, которому придают самое большое значение. Согласие на осуществление автоматизированного мониторинга и контроля как отдельный документ, напоминающий согласие на обработку персональных данных.

Нужен ли он? Да, нужен. Он исключает возможность использования DLP в теневом режиме и исключает множество конфликтов с работниками.

Использование в теневом режиме — это как увлекательная игра для тех, кто мониторит. Но не более. Если работодатель не видит своей целью огромное количество инцидентов и «охоту на ведьм», то смысла в игре в шпионов точно нет.

Использование в легальном режиме дает возможность формирования открытых отношений между работодателем и работником.

Кроме того, мы повышаем уровень осведомленности наших сотрудников в области информационной безопасности. И, как следствие, уровень зрелости в сфере ИБ вообще, а это в наше время очень актуально.

Объяснить человеку, почему это плохо – важнее, чем запугать. Тогда в случае получения письма от неизвестного адресата со странной ссылкой, работник не перейдет по ней и даст знать службе ИБ о таком факте. Что еще ценнее, он не перейдет по такой ссылке и у себя за домашним компьютером, потому что будет знать.

Не будем здесь затрагивать необходимость введения регламента реагирования на инциденты, должностные инструкции «мониторщиков» и то, что относится к тем, кто следит. Наличие или отсутствие этих документов напрямую не влияет на успешность притязаний работодателя к работнику.

Сам процесс оформления выявленного нарушения, составление акта, запрос объяснений от сотрудника, действия в случае его отказа от дачи объяснений, долгий путь с проведением внутреннего расследования, мы тоже не трогаем. Здесь важно как сработает СБ и (или) ИБ и сотрудники HR (а в случае любых разборок с сотрудниками без них не обойдетесь).

Скажу только, что лазеек может быть масса.


Здесь хотелось бы вернуться к теме использования сотрудников ресурсов работодателя не по назначению.
Как нам разграничить, что можно делать, а что нельзя с точки зрения правомерности использования ресурсов компании?

Просто. Принять такой документ как Политика допустимого использования информационных ресурсов компании.
У меня есть пример, когда структурно документ представляет собой описание разрешенных и запрещенных действий с информацией или ресурсом в разрезе канала передачи информации или информационной системы (ресурса) компании.

Например, «запрещено на съемные носители записывать конфиденциальную информацию» (как мы уже поняли, только при условии раскрытия ее определения и состава в соответствующем документе).

Или «запрещено использование интернет-ресурсов в личных целях». Здесь будет не всем легко определить, что такое личные цели, ведь YouTube может быть как развлекательным ресурсом, так и рабочим инструментом.
В этом случае важно не забывать о должностных инструкциях или даже самих трудовых договорах, где четко зафиксированы функциональные обязанности работника.

То же касается и использования социальных сетей и мессенджеров, потому как кто-то их использует для работы, например, для коммуникации с клиентами.

Таким образом, вывод будет простой. Не хочешь, чтобы работодатель завладел твоей личной перепиской — не приноси ее сам на блюдечке.

Немного о других аспектах.

В последнее время замечаю тенденцию, когда для легализации DLP используют огромный пакет документов, включая документы, больше напоминающие административно-хозяйственные.

Насколько это целесообразно и чем это поможет работодателю в суде? Ничем.


Ни для кого не секрет, что есть регуляторы и аудиторы, которые искусно владеют навыками работы с тысячами нормативных документов и всегда могут найти какое-то Постановление Правительства, о котором вы не слышали.
Так формируется бессмысленный и беспощадный мешок документов, подавляющее большинство из которых никому и никогда не понадобится.


Исключение здесь может составлять ЦБ РФ как верховный надзорщик над кредитными организациями. Пакет регулирующих документов для таких организаций выглядит вменяемым, и с большинством рекомендуемых документов можно работать в практической плоскости.

Другие компании остаются с увесистой папкой документов, которые отправляются пылиться в архив СБ или кадровой службы.

Судебную практику разбирать тоже не буду, ее много на просторах Интернета, да и экспертом себя едва ли считаю (можно почитать А. Прозорова, если хотите экспертного мнения, или статью https://fondatom.ru/obzor-sudebnoj-praktiki-po-zashhite-kommercheskoj-tajny-v-sfere-it-v-rossii/ ).

Моя стезя — это практическая область, так что попыталась поделиться несколькими соображениями с точки зрения практики и некоторых проблем.


Но если у вас есть под рукой Консультант-плюс или Гарант (надеюсь, он еще жив), то найти много судебных актов с разными исходами не проблема.


В качестве финала для тех, кто считает, что поругаться и возмутиться мнением, альтернативным своему собственному – это и есть вклад в решение проблемы. Мы живем в реальном мире, в реальном мире есть реальные проблемы. Может, уже начнем принимать в их решении посильное участие?
DLP
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

INFOSECURITY

«Инфосекьюрити» - специализированный сервис-провайдер, оказывающий услуги в сфере информационной безопасности, системной интеграции и консалтинга.