21 марта 2023

DLP играет в пользу работодателя

Ко­личес­тво слу­чаев проиг­ры­ша ра­бото­дате­лей в су­дах про­тив ра­бот­ни­ков, где в хо­де про­цес­са ис­поль­зо­вались до­каза­тель­ства, соб­ран­ные с по­мощью сис­тем за­щиты от уте­чек ин­фор­ма­ции (DLP), как по­казы­вает мо­нито­ринг су­деб­ной прак­ти­ки, ко­торый ве­дут ИБ-вен­до­ры, близ­ко к ну­лю.

Однако таких результатов компании добиваются только в случае тщательной юридической легитимизации использования технических средств, и любой недочет чреват проигрышем и привлечением к ответственности вплоть до уголовной.

Системы защиты от утечек получают все большее распространение. Данные, полученные с их помощью, широко используются в качестве доказательств в ходе судебных процессов против нарушителей, в чьей деятельности усматриваются признаки административных правонарушений и преступлений. Генеральный прокурор Российской Федерации Игорь Краснов в выступлении на расширенной коллегии ведомства 15 марта 2023 г. призвал в том числе контролировать своевременность внедрения технологий, которые воспрепятствуют несанкционированному доступу к данным.

Вместе с тем, как подчеркнула старший юрист направления правового обеспечения комплексных проектов "РТК-Солар" Татьяна Попикова, сложившаяся судебная практика является результатом тщательной легитимизации систем защиты от утечек данных (DLP, Data Leak Prevention, предотвращение утечек данных) и прочих систем обеспечения информационной безопасности. Данный процесс включает целый комплекс мероприятий, направленных на документационное обеспечение внедрения и эксплуатации таких систем. Оно должно включать как изменения в должностные инструкции сотрудников служб безопасности (общей, информационной, экономической), которые будут использовать систему, так и уведомление персонала о том, что их деятельность будет проходить под контролем DLP. Причем приступать к легитимизации необходимо уже на стадии пилота.

Директор по консалтингу ГК InfoWatch Ирина Зиновкина предупреждает: точно нельзя утверждать, что работодатель гарантировано выиграет процесс против работника: "Исход судебного процесса будет зависеть от корректности выстроенного процесса защиты от утечек и информационной безопасности в организации в целом, результатов проведенного служебного расследования - если оно имело место, - а также иных тонкостей, которые, например, могут быть связаны с конкретным типом информации, утечка которой произошла. Не последнюю роль играет внутренняя нормативная база организации касательно обработки конфиденциальной информации, а также использования ресурсов организации: насколько она актуальна и отражает корректность текущих правил по информационной безопасности, также станет фактором в пользу той и или иной стороны".

Руководитель направления технического сопровождения продаж "Гарда Технологии" Дмитрий Горлянский сетует, что ИБ-специалисты отвыкли работать с людьми: "В случае если компания правильно реализовала комплекс организационно-правовых мер, связанных с внедрением DLP-системы, то выиграть процесс против работодателя будет практически невозможно. Иными словами, если работодатель правильно внедрил DLP, умеет правильно работать с системой и людьми, то так и будет. Сама по себе DLP не является залогом успеха - это лишь инструмент. Грамотный специалист не будет строить официальное дело лишь на данных DLP, но постарается максимально их использовать для, например, получения "чистосердечного признания". К сожалению, современные молодые специалисты больше нацелены на работу с техникой, нежели с людьми".

Руководитель аналитического центра компании Zecurion Владимир Ульянов предупреждает, что сотрудников необходимо уведомлять, иначе могут быть проблемы: "Позиция работодателя практически незыблема, если мониторинг осуществляется в соответствии с нормами закона и все формальные требования соблюдены. В рамках регламентированных бизнес-процессов и с уведомлением сотрудников. Если же компания пытается скрытно собирать информацию о работниках, это может иметь негативные последствия и, когда дело дойдет до суда, возможны всякие варианты. Я рекомендую избегать негласного использования DLP, даже если были успешные кейсы в прошлом".

"Если уж вы внедряете DLP-системы - и не только их, но и любые иные, которые могут прослушивать переписку пользователей, - то закажите нормальное юридическое обоснование по правомочности применения таких технологий. И пусть оно будет свежее, от юристов и на базе текущего правоприменения, а не десятилетней давности, подготовленное консультантами по ИБ", - такие рекомендации дал ведущий сайта "Бизнес без опасности" Алексей Лукацкий по результатам резонансного в российском сообществе ИБ-специалистов дела №22-412/2022, в ходе которого начальник ИБ-подразделения территориального органа одного из российских федеральных ведомств осуждена за факт передачи руководителю личной переписки сотрудников.

"DLP, будучи системой защиты от утечек информации, может применяться в различных сценариях. Во-первых, система может помогать в предотвращении выноса информации за пределы внутреннего корпоративного сегмента. Во-вторых, система нередко используется для более точечного контроля коммуникаций сотрудников, как внешних, так и внутренних. Как в первом, так и во втором сценарии у работодателя отсутствует карт-бланш в разбирательствах с использованием DLP, - предупреждает адвокат коллегии адвокатов Pen & Paper Виктор Рыков. - DLP является лишь инструментом, а его использование всегда должно соответствовать конституции, гражданскому, трудовому законодательству и внутренним политикам самой компании. Если работник сможет доказать, что на какой-то из стадий работодатель нарушил конституцию, закон или собственные политики, это может не только подорвать коммерческие цели использования DLP, но и привести к уголовной ответственности для сотрудников ИБ или гражданской ответственности для компании в целом".

Любая небрежность в ходе легитимизации DLP чревата для руководства и служб безопасности серьезными проблемами. По мнению Татьяны Попиковой, такая практика может быть расценена как нарушение запрета на вмешательство в частную жизнь или посягательство на тайну связи, что влечет уголовную ответственность. Кроме того, применение DLP без должного документационного обеспечения является грубым нарушением законодательства о защите персональных данных.

Также в ходе судебных процессов легитимность получения доказательств проверяется, причем довольно тщательно. В качестве примера Татьяна Попикова привела дело №33-4599/2021, которое рассматривалось в Кемеровском областном суде 17 августа 2021 г.

"Суды следуют четкой процедуре, описанной в процессуальном кодексе. Они исследуют и истребуют доказательства и базируются в своих решениях только на них. Нет доказательств - суд никогда не встанет на вашу сторону, даже если логика и практика на вашей стороне", - предупреждает Алексей Лукацкий.

По мнению Виктора Рыкова, при обновлении системы и добавлении новых функций может понадобиться и обновление внутренних политик компании, и, соответственно, ознакомление с новой редакцией сотрудников: "Это важно, если новые функции системы будут затрагивать новые права и обязанности работников. На примере внешних коммуникаций сами по себе они едва ли могут быть незаконными. Работодатель при этом может прописать во внутренних политиках запреты и ограничения в отношении внешних коммуникаций. Очевидно, главная цель - предотвратить утечку конфиденциальной информации и коммерческой тайны. Следовательно, формулировки политик и способы использования DLP должны отталкиваться именно от этих целей". Дмитрий Горлянский называет главным фактором, который требует переоформления документации при внедрении DLP, рост количества рабочих мест в дистанционном и гибридном формате.

По оценке Владимира Ульянова, обновление внутренних политик и регламентов может потребоваться в том случае, если DLP-система начинает контролировать канал, который раньше не был объектом мониторинга: "В большинстве случаев процесс универсален, не зависит от возможностей используемых DLP-систем. Соответственно, при выпуске обновлений не возникает необходимости менять регламенты. Хотя если система контролирует какой-то принципиально новый канал коммуникации, мониторинг которого не допускался ранее, лучше пересмотреть регламенты и уточнить формулировки либо убедиться, что можно спокойно продолжать работу".

Однако российские вендоры, как отмечает руководитель группы внедрения средств контроля пользователей Innostage Тагир Кабиров, новые функции добавляют регулярно: "Сейчас мы наблюдаем ситуацию, когда изменения в решениях DLP с каждой новой версией становятся более значимыми. Контентный анализ данных становится глубже. Анализу подвергаются все больше критериев, позволяющих точнее выявить и предотвратить утечки данных".

Татьяна Попикова также обращает внимание на отраслевую специфику, которая требует вносить корректировки в типовой набор документов, а иногда и процедуры. Так, в госсекторе необходимо подстраивать документацию под терминологию. В ТЭК, где велико влияние профсоюзов, документацию необходимо согласовывать с профкомом. В финансовом секторе документация должна учитывать требования стандартов Банка России.

По мнению Владимира Ульянова, отраслевая специфика малозначима: "Сама процедура юридического обоснования не изменилась и не имеет явной отраслевой специфики. В отдельных отраслях есть нюансы, связанные с классификацией контролируемой информации, но в целом отличия непринципиальны".

По мнению Дмитрия Горлянского, большее значение имеет размер компании, чем отрасль: "Если юридическое оформление внедрения DLP-системы в крупном бизнесе - особенно в банках, страховых компаниях - выглядит достаточно органично, то для внедрения системы, например, в компаниях среднего бизнеса займет больше времени и будет связано с перестройкой ряда процессов в сфере безопасности".

Источник: Comnews

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend