Если вы собрались в суд

Если вы собрались в суд
Компания намерена использовать собранные DLP-системой данные в качестве цифровых доказательств. Например, в ходе уголовного преследования сотрудника за нарушение информационной безопасности.

forblogdlp

В этом случае крайне желательно, чтобы организация контроля в компании была изначально выполнена юридически чисто. Важно, чтобы права владельца информации и сервисов (компании) на защиту не входили в противоречие с конституционными правами сотрудников (на тайну личной жизни и тайну переписки). До сотрудников следует в явном виде донести, что у компании есть право устанавливать правила по работе с информацией ограниченного доступа, и, что еще важнее, контролировать их выполнение. В том числе и с использованием DLP…

Мы рекомендуем выполнить хотя бы минимальный перечень мероприятий:

  1. Определить и документировать перечень информации ограниченного доступа. Особо обратите внимание на информацию, составляющую коммерческую тайну и персональные данные (к ним есть дополнительные требования).

  2. Определить и документировать требования по работе с информацией ограниченного доступа.

  3. Определить и документировать требования по работе с ИТ-сервисами, предоставляемыми в компании (электронной почтой, сетью Интернет, мобильными устройствами, копировально-множительной техникой, съемными носителями, персональными компьютерами). В явном виде желательно прописать, что компания использует автоматизированные средства контроля выполнения данных требований.

  4. Внести в трудовые договоры и/или дополнительные соглашения с сотрудниками положения о неразглашении информацию.

  5. В положения о подразделении ИБ и должностные инструкции специалистов ИБ прописать функции по обнаружению и реагированию на инциденты.

  6. Ознакомить сотрудников под роспись со всем документами.

Данные перечень не является исчерпывающим, но он содержит основные мероприятия, позволяющие «закрыть» вопросы юридической стороны использования DLP.
расследование защита информации DLP-система
Alt text

InfoWatch

Блог компании infowatch infowatch.livejournal.com