Экономико- организационные аспекты использования систем противодействия утечкам данных

Экономическая целесообразность использования систем мониторинга информационных потоков коммерческими организациями определяется в настоящее время как целями обеспечения информационной безопасности (ИБ), так и положительным эффектом от применения инструментов ИБ такими подразделениями, как отделы по работе с персоналом, экономической безопасности, операционных рисков. Система мониторинга предоставляет заинтересованным подразделениям информацию об эффективности использовании сотрудниками рабочего времени и продуктивности их деятельности, о соответствии выполняемых работниками операций действиям, предусмотренным в документах организации (контроль и анализ бизнес-процессов), о фактах сознательного нанесения сотрудниками прямого экономического ущерба работодателю.

Решаемые DLP-системами (Data Leak Prevention) задачи по противодействию утечкам данных позволяют получить значительный экономический эффект, покрывающий затраты на внедрение и эксплуатацию таких систем. Это, как правило, так называемый «внешний» эффект, источником которого являются положительные изменения в биз-нес-процессах. Например, снижение ущерба от мошенничества, нецелевого использования сотрудниками информационных ресурсов организации, кражи данных как важных информационных активов организации и т. п.

Однако внедрение DLP-систем без предварительной организационной подготовки может привести к возникновению спорных ситуаций и отрицательных экономических и социальных эффектов от последствий, связан- ных с оспариванием работниками законности использования систем данного класса.

Информационная безопасность современной организации обеспечивается совокупностью дополняющих друг друга систем и сервисов. Инструментарий информационной безопасности разнообразен. Задача снижения рисков до приемлемого уровня решается при комплексном подходе, предусматривающем использование систем разного назначения, а также организационных методов защиты.

Примерный ландшафт средств и систем защиты информационных активов коммерческой организации представлен на рисунке 1 (облако терминов разработано с использованием сервиса WordItOut) [1].

Для каждой организации набор средств защиты индивидуален и зависит от состава защищаемых информационных ресурсов, масштаба организации, обозначенного вида деятельности, используемой бизнес-модели, способа организации коммуникаций между сотрудниками внутри организации, риск-аппетита владельцев. Внедрение и эксплуатация систем защиты представляет собой во многих случаях трудоемкий и сложный процесс.

Например, для систем следующих классов требуется, как правило, многоэтапная процедура внедрения:

• •    Security Information and Event Management, SIEM – системы управления событиями;

• •    Data Leak Prevention, DLP – системы противодействия утечкам данных и мониторинга информационных потоков;

• •    Incident Response Platform, IRP – платформы управления инцидентами.

Защита учетных записей Шифрование

Защита носителей информации

Управление доступом idsDLPIPS SIEM Антивирус

Аудит информационной безопасности Безопасное программирование

Тест на проникновение

Электронная подпись

Рисунок 1

Системы и средства информационной безопасности

Многоэтапная процедура внедрения предусматривает знакомство с системой в тестовом режиме (разработчики предоставляют возможность изучить функционал системы в течение согласованного периода в тестовой или рабочей среде), параметризацию под условия использования в организации, внедрение и дальнейшую эксплуатацию с постоянной актуализацией правил работы с событиями (инцидентами) информационной безопасности.

Существенной особенностью систем класса Data Leak Prevention (далее – системы мониторинга информационных потоков), выделяющей их на фоне других систем информационной безопасности, является необходимость дополнительного организационного-правово-го сопровождения внедрения и использования таких систем. Это обусловлено следующим.

DLP-системы, в соответствии со своим назначением, собирают и хранят события, которые, согласно установленным организацией правилам, могут быть признаками инцидентов информационной или экономической безопасности [2; 3; 4; 5].

Например:

• •    сообщения электронной почты, содержащие фрагменты конфиденциальных документов;

• •    переписку в мессенджерах с обсуждением тем и указанием информации, составляющей коммерческую тайну;

• •    «теневые» копии файлов, в которых сотрудники организации передавали данные ограниченного доступа по незащищенным каналам;

• •    данные об использовании запрещенного в организации способа передачи конфиденциальных документов, например, на адреса личной электронной почты.

Современные DLP-системы имеют возможность контролировать большинство каналов передачи данных, которые используются как для коммуникаций внутри компании, так и для взаимодействия с контрагентами и любыми корреспондентами (разрешенными и неразрешенными) за пределами организации. На рисунке 2 представлены, например, каналы, контролируемые системой StaffCop Enterprise.

Одновременно с данными, которые собираются организацией целенаправленно (данные клиентов, ноу-хау, производственные секреты, информация о способе расчета цен, система индивидуальных скидок, стратегические планы организации, др.), в перехват DLP-систем могут попадать персональные данные сотрудников, конфиденциальность которых, а также сам факт допустимости их обработки в информационных системах организации защищены законом.

Организация не имеет права без письменного согласия субъекта заниматься обработкой персональных данных, сбор и обработка

Электронная почта

Запись звука с микрофона

Операции с файлами

Снимки с веб-камеры

Ввод с клавиатуры

USB-устройства

Акпгвностъ в приложениях

Запуск процессов и установка программного обеспечения

Веб-трафик (посещение сайтов, социальные сети, веб-почта, передача файлов)

Рисунок 2

Контролируемые каналы. Схема составлена по информации с официального сайта компании-разработчика системы StaffCop [2]

которых не предусмотрены законом. Однако фактически сбор и хранение персональных данных сотрудников может выполнять DLP-система, если сотрудники используют ресурсы работодателя в личных целях.

Установить параметры конфигурации DLP-систем таким образом, чтобы связанные с персональными данными события не регистрировались, является практически трудно реализуемой задачей.

Именно высокая вероятность непреднамеренного попадания в перехват DLP-систем персональных данных сотрудников организации обусловливает необходимость разработки комплекса организационных мер и регламентирующих документов для обеспечения законности использования системы мониторинга информационных потоков.

За нарушение законодательства в области защиты личных данных предусмотрена как административная, так и уголовная ответственность [6, статьи 137, 138, 138.1]. Например, статья 138.1 Уголовного кодекса РФ подчеркивает недопустимость использования специальных технических средств для негласного получения информации. Согласно приведенному в дан- ной статье определению, DLP-системы могут быть отнесены к указанному виду технических средств, если их использование осуществляется без ведома субъектов персональных данных – без ведома сотрудников организации.

Базовым Федеральным законом в области защиты личных данных является 152-ФЗ «О персональных данных» [7]. Права субъектов персональных данных закреплены в статье 24 Конституции РФ – право на защиту информации о частной жизни [8]; статьях 3 и 9 Федерального закона «Об информации, информационных технологиях и о защите информации» – недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, запрет получения личной информации помимо воли человека – субъекта персональных данных [9]. Более полный перечень документов, регламентирующих информационную безопасность для российских коммерческих организаций (включая защиту персональных данных) и обусловливающих необходимость разработки специальных организационноправовых мер при внедрении DLP-системы, представлен в [10].

DLP-систему необходимо эксплуатировать таким образом, чтобы выполнялись задачи защиты информации ограниченного доступа, но при этом соблюдались нормы законодательства России об охране личных данных. Это достигается конфигурацией системы мониторинга информационных потоков, а также организационными мероприятиями, направленными на разграничение рабочего и личного пространства сотрудников.

Организационные мероприятия являются необходимым условием, обеспечивающим допустимость использования DLP-систем с точки зрения соответствия требованиям и ограничениям по обработке персональных данных. Легитимность использования DLP-систем обеспечивается за счет комплекса организационных мероприятий и системы локальных нормативных актов.

Далее рассматриваются процессы и документы, которые для снижения правовых рисков и обеспечения законности использования DLP-системы необходимо разработать в организации, эксплуатирующей данный инструмент информационной безопасности.

Необходимо подчеркнуть, что использование системы мониторинга информационных потоков без соответствующей организационной подготовки и разработки локальных нормативных актов недопустимо. Скрытый мониторинг не может выполняться на законном основании, так как в этом случае использование технических средств для негласного получения информации будет осуществляться без ведома субъектов персональных данных.

Ориентировочный перечень процессов и работ, связанных с легитимизацией внедрения и использования DLP-системы и направленных на снижение рисков нарушения законодательства о защите персональных данных, приведены на рисунке 3. Содержание рисунка основано на рекомендациях следующих производителей DLP-систем:

• •    StaffCop Enterprise, компания-разработчик – ООО «Атом Безопасность» [10];

	Введение режима коммерческой тайны. Ознакомление сотрудников с Положением о коммерческой тайне. Положением о персональных данных
	Ознакомление сотрудников с перечнем конфиденциальных данных предприятия
До начала мониторинга	Ознакомление сотрудников с перечнем мест хранения конфиденциальных данных и правами доступа к ним
	Разработка процедуры отзыва личных данных из системы мониторинга по письменному заявлению сотрудника и ознакомление с ней сотрудников
	Подписание сотрудниками дополнительного соглашения к трудовому договору
В процессе мониторинга	Управление доступом к данным
	Контроль администраторов системы мониторинга

Рисунок 3

Работы по организационно-правовому сопровождению внедрения и использования DLP-системы

• •    Solar Dozor, компания-разработчик – «Ростелеком-Солар» [11];

• •    SearchInform, компания-разработчик – «СёрчИнформ» [12].

Основным содержанием Положения о коммерческой тайне является:

• •    перечень данных, относящихся к коммерческой тайне;

• •    запрет на разглашение данных, относящихся к коммерческой тайне:

срок, в течение которого запрещается разглашать информацию;

разрешенные и запрещенные каналы передачи конфиденциальных данных. Рекомендуется запретить использовать в служебных целях не принадлежащие организации ресурсы – мессенджеры, электронную почту, облачные сервисы;

права доступа, соответствующие должностям сотрудников.

В Положении о персональных данных указываются требования, аналогичные требованиям Положения о коммерческой тайне.

Дополнительное соглашение к трудовому договору содержит следующие основные положения:

• •    положение о необходимости доступа к коммерческой тайне, персональным данным клиентов, другой информации ограниченного доступа в связи с выполнением служебных обязанностей;

• •    положение о необходимости соблюдения режима коммерческой тайны, неразглашении конфиденциальных данных и персональных данных;

• •    обязательство сотрудника использовать ресурсы работодателя исключительно в рабочих целях. Предупреждение о том, что в случае использования ресурсов работодателя в личных целях персональные данные сотрудника могут попасть в перехват DLP-системы;

• •    информирование сотрудника об использовании в организации системы мониторинга информационных потоков. Цель и регламент мониторинга информационных потоков организации;

• •    ответственность сотрудника за нарушение политики конфиденциальности: дисциплинарная, административная, гражданско-правовая, уголовная;

• •    ссылки на документы, определяющие ограничения, связанные с обработкой конфиденциальной информации:

правила работы с периферийными устройствами (перечень разрешенных и (или) запрещенных устройств);

правила работы со съемными устройствами хранения данных (копирование на (с) устройства);

правила хранения конфиденциальной информации (шифрование, защита паролем, др.);

правила уничтожения конфиденциальной информации (по видам носителей);

инструкции по работе с системами информационной безопасности.

Управление доступом к данным представляет собой бизнес-процесс, предполагающий систематическое выполнение следующих работ:

• •    разработка и периодическая актуализация матрицы доступа к конфиденциальным данным (соответствие «роль – права доступа» по функциям (пунктам меню) и видам информации (например, доступ к данным только клиентов одного филиала или только к данным сотрудников и т. п., в зависимости от служебной необходимости). Права доступа по ролям переносятся из матрицы доступа в конфигурацию используемых в организации информационных систем;

• •    разработка и документирование соответствия «роль – должность»;

• •    документированное определение соответствия «роль – работник» и установка соответствующих параметров в конфигурации информационных систем;

• •    назначение ответственных за администрирование параметров прав доступа для каждой из информационных систем организации;

• •    передача администраторам прав доступа информации о принятых на работу, уволенных сотрудниках и других пользователях, которым организация предоставляет доступ к информационным ресурсам, с целью назначения, изменения или удаления прав доступа.

Рекомендуется ссылаться в локальных нормативных документах организации не на мониторинг сотрудников, а именно на мониторинг информационных потоков.

Ознакомление сотрудников с перечнем конфиденциальных данных и правилами доступа необходимо проводить не только до начала мониторинга и при приеме на работу, но и:

• •    при переводе на другую должность;

• •    при изменении состава и (или) содержания документов организации, определяющих состав конфиденциальных данных, изменении прав доступа, правил использования DLP-системы.

Помимо сотрудников организации, с локальными нормативными документами по защите конфиденциальных данных и использовании DLP-системы необходимо ознакомить представителей сторонних организаций и других физических лиц – аудиторов, представителей подрядчиков, консультантов и др.

Приведенные в статье рекомендации позволят снизить риски экономических потерь и репутационного ущерба организации.