Правильно внедряем DLP-систему: как обеспечить защиту информации и не нарушить права работников

Сегодня все большую популярность в сфере защиты данных приобретают DLP-системы (от англ. Data Leak Prevention). Частный и государственный сектор вынуждены внедрять их, реагируя на лавинообразный рост случаев утечки конфиденциальной информации, несущих бизнесу многомиллиардные убытки. В то же время внедрение DLP связано с рядом вопросов, касающихся соблюдения гарантированных Конституцией Республики Беларусь (далее — Конституция) прав граждан.

Обновлено
Мачихин Станислав

советник BusinessAdvisers Law&Tax Firm

3164 Shape 1 copy 6Created with Avocode.

Что такое DLP и как она работает?

DLP-системы — это программные средства защиты конфиденциальной информации, используемые для предотвращения ее утечек из информационной системы организации. Система работает следующим образом: на каждый компьютер, мобильное устройство устанавливается программный агент, который фиксирует все действия, совершаемые пользователем (нажатия клавиш; копирование/передача/удаление информации через сеть Интернет и на другие устройства; активность в социальных сетях; звонки), и передает эту информацию на специальный аналитический сервер. Последний по заданным параметрам (политики безопасности компании) проводит поиск по собранному массиву данных. Так как большинство DLP обладают системами распознавания речи, анализируется не только текстовый, но и звуковой контент. В случае обнаружения нарушений специалист по безопасности получает уведомление об инциденте.

Какие существуют правовые риски?

Конституция гарантирует каждому защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну корреспонденции, телефонных и иных сообщений (ст. 28 Конституции). Никто не вправе получать информацию о частной жизни и персональных данных физического лица, включая сведения, составляющие личную и семейную тайну, тайну телефонных переговоров, почтовых и иных сообщений, помимо воли данного лица, кроме случаев, установленных законодательством (ч. 1 ст. 18 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», далее — Закон о защите информации).

По данным компании Infowatch, за 12 лет в мире «утекло» более 30 млрд записей персональных данных (bit.ly/2V32EpZ).

Статья 179 УК устанавливает ответственность за незаконные собирание либо распространение сведений о частной жизни, составляющих личную или семейную тайну другого лица, без его согласия. А ст. 203 УК грозит санкциями за умышленное незаконное нарушение тайны переписки, телефонных или иных переговоров, почтовых или иных сообщений граждан.

Работник может использовать служебный компьютер, мобильный телефон не только для выполнения заданий нанимателя, но и в личных целях, переписываясь в мессенджерах, отправляя электронные сообщения личного характера, звоня родственникам. В таких случаях контроль со стороны нанимателя посредством DLP может расцениваться как вмешательство в сферу частной жизни гражданина и несет правовой риск квалификации его действий как уголовно наказуемого деяния.

Как не нарушить права работников при внедрении DLP?

Выполнение следующих организационно-правовых мер позволит избежать нарушения прав работников при внедрении DLP в организации.

Первая мера — установление правилами внутреннего трудового распорядка, иным локальным актом компании, трудовым договором обязанности работника использовать предоставленные ему оборудование, средства связи, информационные ресурсы исключительно для выполнения своих трудовых обязанностей (запрет на их использование в личных целях). Целесообразно также ввести в компании правила допустимого использования информационной системы и сервисов, сети Интернет и корпоративной почты, запретив использовать их, а также служебные компьютеры и телефоны для отправки сообщений личного плана.

Рекомендация.
В компании целесообразно ввести правила допустимого использования информационной системы и сервисов, сети Интернет и корпоративной почты, запретив использовать их, а также служебные компьютеры и телефоны для отправки сообщений личного плана.

Указанная мера исходит прежде всего из норм Гражданского и Трудового кодексов. Так, согласно п. 2 ст. 210 ГК собственник вправе по своему усмотрению совершать в отношении принадлежащего ему имущества любые действия, не противоречащие законодательству, общественной пользе и безопасности.

Отсюда вытекает право нанимателя как собственника устанавливать правила использования работниками предоставляемого им служебного оборудования и в последующем контролировать действия работников на предмет соблюдения этих правил. Так как компьютеры, средства связи, почтовый сервер, доступ в Интернет, электроэнергия и т.д. принадлежат компании (оплачиваются ею), она вправе проследить, чтобы все это сотрудник использовал для работы, а не в личных целях.

Этому корреспондируют и предусмотренные ст. 53 ТК требования к работнику добросовестно исполнять свои трудовые обязанности, в том числе выполнять установленные нормы труда; подчиняться правилам внутреннего трудового распорядка, иным документам, регламентирующим вопросы дисциплины труда; выполнять письменные и устные приказы (распоряжения) нанимателя.

Вторая мера — введение режима ограниченного доступа к определенным видам информации, а также установление правил обработки и защиты такой информации и ознакомление всех работников с ними под роспись. Для большинства компаний это будет режим коммерческой тайны. Но в зависимости от вида деятельности организации это может быть и иная информация, распространение и (или) предоставление которой ограничено (профессиональная, банковская и иная охраняемая законом тайна; персональные данные; государственные секреты; служебная информация ограниченного распространения).

Введение такого режима позволяет компании использовать технические средства и методы защиты информации (ч. 3 ст. 8 Закона Республики Беларусь от 05.01.2013 № 16-З «О коммерческой тайне», ч. 3 ст. 29 Закона о защите информации). Более того, указанные документы обязывают собственников информационной системы, содержащей информацию, распространение и (или) предоставление которой ограничено, организовать защиту такой информации (ст. 30 Закона о защите информации).

Справочно. 
В Российской Федерации принято постановление Пленума Верховного Суда от 25.12.2018 № 46, где отмечено, что при рассмотрении уголовных дел о преступлении, предусмотренном
ст. 138 УК РФ, судам следует иметь в виду, что тайна переписки, телефонных переговоров, почтовых или иных сообщений признается нарушенной, когда доступ к ним совершен без согласия лица, чью тайну они составляют. В Беларуси не принято подобных разъяснений на уровне Верховного Суда, но полагаем, что трактовка соответствующих норм отечественного УК будет сходной.

Третья мера вытекает из особенностей реализации и защиты прав на сохранение личной или семейной тайны человека, тайну корреспонденции, переговоров, сообщений.

Сбор, обработка, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими осуществляются с письменного согласия данного физического лица, если иное не установлено законодательством (ч. 2 ст. 18 Закона о защите информации). Особенностью субъективной стороны преступлений, предусмотренных ст. 179 и 203 УК, является необходимость наличия умышленной вины в действиях лица. То есть лицо должно было осознавать, что незаконно, без согласия потерпевшего, собирало сведения о частной жизни лица (ст. 179 УК), нарушало тайну переписки, телефонных или иных переговоров, почтовых, телеграфных или иных сообщений (ст. 203 УК).

В связи с этим во избежание привлечения должностных лиц нанимателя к уголовной ответственности необходимо:

— уведомить работников под роспись о том, что в компании в целях осуществления контроля за информационной безопасностью, соблюдением режима коммерческой тайны, порядком использования предоставленных нанимателем оборудования и информационных ресурсов, выполнением работником правил внутреннего трудового распорядка используются DLP-системы и в ходе осуществления такого контроля наниматель может непреднамеренно получать доступ к сведениям, составляющим личную или семейную тайну работника, его личной переписке, телефонным переговорам, сообщениям;

— получить письменное согласие работника на доступ и ознакомление нанимателя с личными данными и сообщениями, перепиской работника, полученными в ходе осуществления указанного выше контроля.

Четвертая мера — установление локальными актами жестко регламентированного порядка использования DLP. Следует предусмотреть, что DLP можно использовать исключительно для контроля за информационной безопасностью, соблюдением режима коммерческой тайны, использованием оборудования и информационных ресурсов нанимателя, выполнением работником правил внутреннего трудового распорядка. Также нужно установить прямой запрет на использование DLP для незаконной слежки за работниками, собирания сведений об их частной жизни и в иных противоправных целях. С данными локальными актами должны быть ознакомлены под роспись руководство компании, специалисты по информационной безопасности, системные администраторы.

Справочно.
Популярными зарубежными DLP-системами являются Symantec DLP, Forcepoint DLP, McAfee DLP, Sophos Endpoint Protection, Solar Dozor, Zecurion DLP и др.

Пятая мера — использование DLP, имеющих сертификат соответствия, выданный в Национальной системе подтверждения соответствия Беларуси, или положительное экспертное заключение по результатам государственной экспертизы (ч. 7 ст. 28 Закона о защите информации). За нарушение данной нормы предусмотрена административная ответственность в виде штрафа от 100 до 200 БВ с конфискацией этих средств защиты информации или без конфискации (п. 2 ст. 22.7 КоАП).

Резюме.
DLP-системы являются надежным помощником компании в предотвращении утечки конфиденциальной информации. При этом существует риск нарушения конституционных прав работников на частную жизнь. Выполнение всех описанных в статье мер, привлечение к работе по внедрению DLP квалифицированных юристов, сотрудников кадровых служб и специалистов по безопасности сделает использование указанных систем в компании легальным.

3164 Shape 1 copy 6Created with Avocode.
Последнее
по теме
• • •
Процедура заключения трудового договора (контракта) достаточно строго регламентирована законодательством. Вместе с тем на практике довольно часто совершаются ошибки: вмес...
Заключение трудового договора (контракта)