17
Внедрение DLP- системы: юридическая сторона вопроса

Юридические аспекты Dlp

  • Upload
    mfisoft

  • View
    204

  • Download
    0

Embed Size (px)

Citation preview

Внедрение DLP- системы: юридическая

сторона вопроса

Законодательство и DLP

Мы больше не обрезаем ключевые

изображения краями слайда, а

ставим их целиком. Дополнительные

элементы, связанные с этим

изображением, можем упирать в край

и обрезать.

Конституция Российской Федерации,

статья 23

1. Каждый имеет право на неприкосновенность частной

жизни, личную и семейную тайну, защиту своей чести и

доброго имени.

2. Каждый имеет право на тайну переписки, телефонных

переговоров, почтовых, телеграфных

и иных сообщений. Ограничение этого права допускается

только на основании судебного решения.

УК РФ ст.137

Нарушение неприкосновенности частной жизни

УК РФ ст.138

Нарушение тайны переписки, телефонных переговоров,

почтовых, телеграфных или иных сообщений.

Законодательство и DLP

N 149-ФЗ «Об информации, информационных

технологиях и о защите информации»

N 98-ФЗ «О коммерческой тайне»

Приказ ФСТЭК от 18 февраля 2013 г. N 21

«Об утверждении состава и содержания организационных

и технических мер по обеспечению безопасности

персональных данных при их обработке в

информационных системах персональных данных»

Приказ ФСТЭК от 11 февраля 2013 г. N 17

Об утверждении требований о защите информации, не

составляющей государственную тайну, содержащейся в

государственных информационных системах

Трудовой кодекс РФ:

Статья 81 ТК РФ. Расторжение трудового договора

по инициативе работодателя

Статья 238 ТК РФ. Материальная ответственность

работника за ущерб, причиненный работодателю

Статья 243 ТК РФ. Случаи полной материальной

ответственности

Статья 193. Порядок применения дисциплинарных

взысканий

Уголовный кодекс РФ:

Статья 183. Незаконные получение и разглашение

сведений, составляющих коммерческую,

налоговую или банковскую тайну

Легальное использование DLP

Документальное определение информации

ограниченного доступа

Правила работы с информацией ограниченного

доступа

Запрет на использование корпоративных

ресурсов в личных целях

Внесение изменений в

трудовые договоры и

правила внутреннего

трудового распорядка

Для легального использования систем DLP необходимо принять ряд организационно-распорядительных мер:

Алгоритм работы c DLP

Разработка и внедрение необходимой организационно-распорядительной

документации

Установка DLP-системы и настройка политик безопасности

Ретроспективный анализ накопленных данных

Служебная записка руководству об инциденте с приложением отчета из DLP

Запрос объяснительной, создание комиссии, проведение расследования

Отсутствие инцидента

Увольнение по соглашению сторон

Приказ о дисциплинарном

взыскании

Увольнение за неоднократное

нарушение ПВТР

Сработала политика

безопасности

Поступила оперативная

информация

Режим коммерческой тайны

Режим коммерческой тайны: что это и зачем его внедрять?

Режим коммерческой тайны и меры по легализации использования DLP позволяют использовать результаты работы системы в полном объеме

Мы

Коммерческая тайна –

режим конфиденциальности информации, позволяющий ее

обладателю при существующих или возможных обстоятельствах

увеличить доходы, избежать неоправданных расходов, сохранить

положение на рынке товаров, работ, услуг или получить иную

коммерческую выгоду.

Информация, составляющая коммерческую тайну, -

сведения любого характера (производственные, технические,

экономические, организационные и другие), в том числе о

результатах интеллектуальной деятельности в научно-

технической сфере, а также сведения о способах

осуществления профессиональной деятельности, которые

имеют действительную или потенциальную коммерческую

ценность в силу неизвестности их третьим лицам, к которым у

третьих лиц нет свободного доступа на законном основании и в

отношении которых обладателем таких сведений введен режим

коммерческой тайны.

Этапы внедрения режима коммерческой тайны

Определить и составить перечень сведений,

относящихся к КТ

Ограничить доступ к информации:

использование грифов секретности,

назначение сотрудников, ответственных за

поддержание режима КТ, введение системы

прав доступа.

Провести учёт лиц, которые имеют доступ

к информации, относящейся к КТ.

Прописать порядок использования

конфиденциальных сведений в трудовых договорах с

сотрудниками и в договорах с контрагентами.

Ознакомить под роспись всех сотрудников

предприятия с разработанными документами.

Создать условия для выполнения режима КТ (выдать

сотрудникам персональные учетные записи, при

необходимости - устройства хранения, перечни

категорий информации, сейфы и т.п)

Регулярно проводить обучение сотрудников.

Сведения, которые не могут составлять

коммерческую тайну

1) содержащихся в учредительных документах юридического

лица, документах, подтверждающих факт внесения записей о

юридических лицах и об индивидуальных предпринимателях в

соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление

предпринимательской деятельности;

3) о составе имущества государственного или муниципального

унитарного предприятия, государственного учреждения и об

использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной

безопасности, санитарно-эпидемиологической и радиационной

обстановке, безопасности пищевых продуктов и других факторах,

оказывающих негативное воздействие на обеспечение безопасного

функционирования производственных объектов, безопасности

каждого гражданина и безопасности населения в целом

5) о численности, о составе работников, о системе оплаты труда,

об условиях труда, в том числе об охране труда, о показателях

производственного травматизма и профессиональной

заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и

по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и

фактах привлечения к ответственности за совершение этих

нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов

государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций,

о размерах и составе их имущества, об их расходах, о

численности и об оплате труда их работников, об использовании

безвозмездного труда граждан в деятельности некоммерческой

организации;

10) о перечне лиц, имеющих право действовать без доверенности от

имени юридического лица;

11) обязательность раскрытия которых или недопустимость

ограничения доступа к которым установлена иными

федеральными законами.

Статья 5 № 98-ФЗ «О коммерческой тайне» Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

Правоприменительная практика

Доказательная база

Уголовное дело, например за разглашение охраняемой законом информации

Привлечение экспертов по расследованию компьютерных инцидентов

Предварительная подготовка организационно-распорядительной документации

Внедрение

документации для

последующего

легального

использования данных

в расследовании

Необходимости сбора юридически значимой доказательной базы

возникает при возбуждении уголовного дела за разглашение

конфиденциальной информации

Разглашение информации ограниченного доступа

Биг пикча

Мы больше не обрезаем ключевые

изображения краями слайда, а

ставим их целиком. Дополнительные

элементы, связанные с этим

изображением, можем упирать в край

и обрезать.

Кейс № 1

Кассационное определение Верховного суда Удмуртской Республики от 25 мая 2011 г. по делу № 33-1796: «Исковые требования Ф. С. А. к ОАО “У” о восстановлении на работе, взыскании заработка за время вынужденного прогула, компенсации морального вреда, удовлетворены частично.

Обоснование

Основанием для удовлетворения иска работника о восстановлении на работе, как указал суд первой инстанции, послужило непредставление ответчиком доказательств того, что на момент вынесения приказа об увольнении у работодателя имелись основания полагать, что разглашенные сведения, ставшие известными работнику в связи с выполнением им своих трудовых обязанностей, относились к сведениям, составляющим коммерческую тайну.

На материальные носители (документы), содержащие, по мнению ответчика, информацию,

составляющую коммерческую тайну, гриф “Коммерческая тайна” с указанием обладателя этой

информации (полного наименования и места нахождения юридического лица) нанесен не был

(п. 5 ч. 1 ст. 10 закона № 98-ФЗ).

Учет лиц, получивших доступ к этой информации, и (или) лиц, которым такая информация

была предоставлена или передана, не велся (п. 3 ч. 1 ст. 10 закона № 98-ФЗ).

Попытка присвоения клиентской базы

4 июля 2011 г. по делу № 1-15/11 Октябрьский районный суд

Новосибирска осудил Т.П и Е.К., бывших менеджеров ООО

«Сибпластком-1», за незаконное использование сведений,

составляющих коммерческую тайну (ч. 3 ст. 183 УК РФ) этой

компании.

При увольнении менеджеры скопировали клиентскую базу

ритейлера и открыли фирму подобного профиля, переманив часть

деловых партнеров конкурента.

Доказательства

Факты отправки баз данных, охраняемых в режиме коммерческой

тайны, по электронной почте с почтовых ящиков, принадлежащих

подозреваемым, проведен сравнительный анализ баз данных

компании-прежнего работодателя и компании, созданной

осужденными, а также объема продаж клиентам, находящимся в

базе данных прежнего работодателя.

Биг пикча

Мы больше не обрезаем ключевые

изображения краями слайда, а

ставим их целиком. Дополнительные

элементы, связанные с этим

изображением, можем упирать в край

и обрезать.

Кейс № 2

Запрет личной переписки в рабочее время Дело Б. Барбулеску против Румынии

12 января 2016 года Европейский суд по правам человека (ЕСПЧ) вынес

решение по делу румынского инженера Богдана Барбулеску к

руководству компании, в которой он работал, уволившему его в 2007 г.

после ознакомления с его личной перепиской. Тексты были отправлены

при помощи сервиса Yahoo Messenger в рабочие часы. Заявитель

требовал признать действия работодателя нарушением его права на

конфиденциальность переписки.

Решение

Г-н Барбулеску письменно заверил работодателя в обратном, в ответ

ему была предоставлена расшифровка его сообщений по личным

вопросам. В итоге, работодатель прекратил трудовой контракт г-на

Барбулеску по причине нарушения правил внутреннего распорядка

компании, которые запрещают использование ресурсов компании в

личных целях.

По решению ЕСПЧ работодатель, получив такой ответ, имел законное право

просмотреть учетную запись сотрудника, полагая, что ее содержание связано

исключительно с профессиональной деятельностью последнего.

Мы больше не обрезаем ключевые

изображения краями слайда, а

ставим их целиком. Дополнительные

элементы, связанные с этим

изображением, можем упирать в край

и обрезать.

Кейс № 3

Итоги

DLP без организационно-распорядительных мер – только инструмент слежения за сотрудниками

Максимальная польза от DLP – при введении режима коммерческой тайны

Внедрение режима коммерческой тайны требует времени и серьезного подхода

Главная задача службы безопасности перед установкой DLP-решений – разработка и внедрение организационно-распорядительной документации

БОНУС: Шаблоны документов в подарок участникам вебинара

10+ лет опыта разработки систем высокой сложности

Более 300 высококвалифицированных специалистов

Собственный исследовательский центр

для развития новых проектов

1500 внедрений решений во всех федеральных

округах России

Система менеджмента качества МФИ Софт сертифицирована на

соответствие международному стандарту ISO 9001:2008

Британским институтом стандартов (BSI)

Более подробная информация на сайте МФИ Софт

Спасибо за внимание и терпение!

[email protected]

8 (831) 422-11-61

mfisoft.ru