DLP Hero:

4 «горячих» юридических

вопроса про DLP Андрей Прозоров

Ведущий эксперт по

информационной безопасности

Ранее в вебинаре (часть 1)…

http://www.infowatch.ru/webinar/iw_10_07_2014

31 слайд про юр.особенности использования DLP-систем, судебную практику по увольнению сотрудников, особенности режима КТ, рекомендации по документированию требований и многое другое…

«Горячие» юр.вопросы DLP

1. DLP vs личная и семейная тайны

2. DLP vs тайна связи 3. DLP vs спец.средства негласного съема

информации

4. DLP vs ИСПДн

«Горячие» вопросы DLP

• Контроль информационных потоков («чтение писем»)

• Контроль файлов на рабочих станциях и серверах (DLP Discovery)

• Снимки экранов • Запись веб-камер • Запись аудио

Классическое DLP (АС)

Средства «подглядывания»

(человек)

Scope

За рамками данной презентации… (другие юр.принципы)

Это рассмотрим подробно

• УК РФ ст. 137. Нарушение неприкосновенности частной жизни

• УК РФ ст. 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

• УК РФ ст. 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации

• КоАП ст. 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Ключевые статьи (ими пугают)

Каждый трактует законодательство по-своему…

Я не первый, кто «пытается побороть эти ветряные мельницы» Вот мнения коллег: Лукацкий (2008): ч1: bit.ly/1qYjeGs ч2: bit.ly/XHs0LU Форум (bankir.ru): bit.ly/1slkHmA Хабрахабр (2012): habrahabr.ru/post/141491 Емельянников (2013, презентация): bit.ly/1koZKYP

• Их слишком много, особенно комментариев…

• Слишком много противоречивых суждений

• Не определены «объекты анализа» («тайна связи», «личная и семейная тайна»). А это важно…

• Возможно ссылки на законы устарели?

• А что с судебной практикой?

• И что в итоге? Что делать, как быть? (вариант «получите согласие» не предлагать)

Что не так со старыми

материалами?

Давайте еще раз ))

Копланд против Соединенного Королевства (Copland v. United Kingdom) (N 62617/00) По материалам Постановления Европейского Суда по правам человека от 3 апреля 2007 года

Заявительница работала в колледже поствысшего образования, в качестве личного помощника директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и Интернета (~1995 год). Это было сделано для того, чтобы убедиться в том, что она не использует оборудование колледжа в личных целях.

Мониторинг использования телефона предусматривал анализ телефонных счетов колледжа, (вызываемые телефонные номера, дату и время звонков, их продолжительность и стоимость); мониторинг использования Интернета (посещавшиеся сайты, даты и продолжительности визитов), и мониторинг электронной почты (адреса, дат и времени отправки электронных сообщений).

В период этих событий правила мониторинга в колледже не были разработаны.

В английском праве также отсутствовали общие гарантии защиты личной жизни, но впоследствии было принято законодательство, регулировавшее перехват сообщений и обстоятельства, при которых работодатели могли записывать или контролировать сообщения работников без их согласия.

Европейский Суд присудил выплатить заявительнице 3000 евро в счет компенсации причиненного ей морального вреда.

Кстати, это единственное найденное судебное решение про мониторинг почты с «победой» работника…

А что у нас?

Статья 17 …

2. Основные права и свободы человека неотчуждаемы и принадлежат каждому от рождения.

3. Осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц.

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24

1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

…

Ключевые статьи Конституции РФ

Почему-то все вспоминаю только эту статью…

Несколько мыслей про

ГК РФ, ТК РФ, УК РФ и КоАП (скорее в справочных целях…)

Статья 2. Отношения, регулируемые гражданским законодательством

1. Гражданское законодательство определяет правовое положение участников гражданского оборота, основания возникновения и порядок осуществления права собственности и других вещных прав, прав на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальных прав), регулирует отношения, связанные с участием в корпоративных организациях или с управлением ими (корпоративные отношения), договорные и иные обязательства, а также другие имущественные и личные неимущественные отношения, основанные на равенстве, автономии воли и имущественной самостоятельности участников.

Статья 209. Содержание права собственности

1. Собственнику принадлежат права владения, пользования и распоряжения своим имуществом.

…

Общая идея: Право пользования ресурсам компании возникает у работника лишь в силу прямого согласия работодателя в

рамках исполнения работником трудовых функций

Важные положения ГК РФ

Ключевой момент в ГК РФ:

«Права собственности»

Статья 21. Основные права и обязанности работника

Работник обязан:

• добросовестно исполнять свои трудовые обязанности,

возложенные на него трудовым договором;

• соблюдать правила внутреннего трудового распорядка;

• …

Статья 22. Основные права и обязанности работодателя

Работодатель имеет право:

• …

• требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель несет ответственность за сохранность этого имущества) и других работников, соблюдения правил внутреннего трудового распорядка;

• принимать локальные нормативные акты

• …

Важные положения ТК РФ

Ключевой момент в ГК РФ: «Правила внутреннего трудового распорядка» (документированные)

Статья 5. Принцип вины

1. Лицо подлежит уголовной ответственности только за те общественно опасные действия (бездействие) и наступившие общественно опасные последствия, в отношении которых установлена его вина.

2. Объективное вменение, то есть уголовная ответственность за невиновное причинение вреда, не допускается.

Статья 8. Основание уголовной ответственности

Основанием уголовной ответственности является совершение деяния, содержащего все признаки состава преступления, предусмотренного настоящим Кодексом.

Статья 14. Понятие преступления

1. Преступлением признается виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания.

2. Не является преступлением действие (бездействие), хотя формально и содержащее признаки какого-либо деяния, предусмотренного настоящим Кодексом, но в силу малозначительности не представляющее общественной опасности.

Статья 19. Общие условия уголовной ответственности

Уголовной ответственности подлежит только вменяемое физическое лицо, достигшее возраста, установленного настоящим Кодексом.

Общие положения УК РФ (1)

Про отсутствие состава преступления

Уголовное дело в отношении Н., обвиняемого в совершении преступлений, предусмотренных по ч. 1 ст. 138 УК РФ (нарушение тайны переписки), ч. 1 ст. 318 УК РФ (применение насилия в отношении представителя власти), ч. 1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации) прекращено на основании п. 2 ч. 1 ст. 24 УПК РФ в связи с отсутствием в деянии состава преступления.

Как следует из представленных материалов уголовного дела и было установлено в ходе судебного разбирательства, Н. и потерпевшая Н. находились в зарегистрированном браке, в течение которого совместно пользовались интернет-ресурсами, подсудимый имел в своем распоряжении пароли, которые использовала потерпевшая при посещении интернет-сайтов. После расторжения брака потерпевшая Н., указанные пароли не сменила, и не запрещала своему бывшему супругу использовать их, равно, как и не запрещала посещать используемые ранее ими обоими интернет-сайты, а Н., с учетом сложившихся между ним и потерпевшей отношений после развода, использовал ранее известные ему пароли, лишь с целью обнародования факта их с Н. развода.

При таких обстоятельствах, судебная коллегия находит правильным мотивированный вывод суда об отсутствии каких-либо общественно-опасных последствий в результате действий Н., поскольку, наступившие последствия являются незначительными и не являются общественно-опасными.

Статья 24. Формы вины 1. Виновным в преступлении признается лицо, совершившее деяние умышленно или по неосторожности. 2. Деяние, совершенное только по неосторожности, признается преступлением лишь в случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса.

Статья 25. Преступление, совершенное умышленно 1. Преступлением, совершенным умышленно, признается деяние, совершенное с прямым или косвенным умыслом. 2. Преступление признается совершенным с прямым умыслом, если лицо осознавало общественную опасность своих действий (бездействия), предвидело возможность или неизбежность наступления общественно опасных последствий и желало их наступления. 3. Преступление признается совершенным с косвенным умыслом, если лицо осознавало общественную опасность своих действий (бездействия), предвидело возможность наступления общественно опасных последствий, не желало, но сознательно допускало эти последствия либо относилось к ним безразлично.

Статья 26. Преступление, совершенное по неосторожности 1. Преступлением, совершенным по неосторожности, признается деяние, совершенное по легкомыслию или небрежности. 2. Преступление признается совершенным по легкомыслию, если лицо предвидело возможность наступления общественно опасных последствий своих действий (бездействия), но без достаточных к тому оснований самонадеянно рассчитывало на предотвращение этих последствий. 3. Преступление признается совершенным по небрежности, если лицо не предвидело возможности наступления общественно опасных последствий своих действий (бездействия), хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть эти последствия.

Общие положения УК РФ (2)

Статья 1.2. Задачи законодательства об административных правонарушениях Задачами законодательства об административных правонарушениях являются защита личности, охрана прав и свобод человека и гражданина, охрана здоровья граждан, санитарно-эпидемиологического благополучия населения, защита общественной нравственности, охрана окружающей среды, установленного порядка осуществления государственной власти, общественного порядка и общественной безопасности, собственности, защита законных экономических интересов физических и юридических лиц, общества и государства от административных правонарушений, а также предупреждение административных правонарушений.

Статья 2.1. Административное правонарушение 1. Административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое настоящим Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность. 2. Юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению. 3. Назначение административного наказания юридическому лицу не освобождает от административной ответственности за данное правонарушение виновное физическое лицо, равно как и привлечение к административной или уголовной ответственности физического лица не освобождает от административной ответственности за данное правонарушение юридическое лицо.

Статья 2.2. Формы вины 1. Административное правонарушение признается совершенным умышленно, если лицо, его совершившее, сознавало противоправный характер своего действия (бездействия), предвидело его вредные последствия и желало наступления таких последствий или сознательно их допускало либо относилось к ним безразлично. 2. Административное правонарушение признается совершенным по неосторожности, если лицо, его совершившее, предвидело возможность наступления вредных последствий своего действия (бездействия), но без достаточных к тому оснований самонадеянно рассчитывало на предотвращение таких последствий либо не предвидело возможности наступления таких последствий, хотя должно было и могло их предвидеть.

Общее про КоАП

Ключевой момент в УК РФ и КоАП:

«Умысел»

Общие аргументы в

поддержку DLP

Система DLP само по себе не может нарушить Конституцию и Закон… (не является субъектом права)

#1

DLP не вносит в ИТ-инфраструктуру чего-то принципиально нового, «шпионского».

DLP - это скорее дополнительная возможность мониторинга и контроля…

#1

Системный администратор и так может просмотреть сообщения электронной почты, собрать информацию с принт-сервера, просмотреть все файлы на рабочем ноутбуке/ПК, проверить логи прокси-сервера и пр…

#1

Если вы кому-то не доверяете, то минимизируйте права доступа.

В том числе и по доступу к настройкам DLP и выявляемым событиям…

Общий подход к мониторингу и

контролю

Документи-рование

требований

Ознаком-ление и

Обучение персонала

Наличие системы

мониторинга и контроля

(выполнения требований)

Работа с инцидентами

• Процесс управления инцидентами

• «Управленческое решение»

• Перечень информации ограниченного доступа • Перечень допущенных лиц • Правила работы с информацией ограниченного доступа • Правила работы с оборудованием и сервисами компании • Требования и процедуры ИБ • Должностные инструкции и положения о подразделении

• Журнал учета ознакомления сотрудников с требованиями

• Трудовой договор и другие соглашения* с сотрудниками (КТ и пр.)

• Учебные материалы • Учебные курсы и тесты • Памятки • «Визуальные материалы»

* - вопрос согласия на просмотр почты будет рассмотрен далее

• Внутренние аудиты • Внешние аудиты • DLP и аналоги

• Проверки регуляторов

!!! Декларация (уведомление) о

возможности контроля выполнения требований

#2

Сотрудник знает, что:

• есть правила, запрещающие обработку (передачу и хранение) «личной информации» на корпоративных устройствах и с использование корпоративных сервисов;

• в компании используются средства мониторинга и контроля выполнения этих правил;

• компания заявляет об отсутствии умысла читать личную переписку сотрудников, а в случае обнаружения «личной информации» она не будет использоваться…

Сотрудник, в принципе, может вести свою личную переписку со своих персональных устройств (желательно во внерабочее время )

Какие права сотрудника при

этом нарушаются?

#2

Пример из комментариев в Консультант+

Допустим, работник, разговаривая по телефону в присутствии сослуживцев, которые находятся на законных основаниях в этом же помещении, случайно включил громкую связь, в результате чего все слышали разговор полностью или часть его. Может ли работник после этих событий обвинить остальных в том, что они нарушили тайну его телефонных переговоров?

#2

Комментарий в Консультант+

В чем принципиальная разница между направлением какой-либо личной информации по открыто прочитываемой корпоративной почте и выкладыванием ее тем же человеком в общий доступ, скажем, на интернет-форуме?

В обоих случаях человек это делает осознанно…

#2

Кстати, для защиты, например, ПДн мы ориентируемся на требования и рекомендации ФСТЭК России.

Использование DLP – одна из мер защиты…

#3

На этом можно было бы закончить данный вебинар, но давайте «копать глубже»!

…

Конституция устанавливает базовые принципы, но их суть определена в других документах…

Статья 3. Принципы правового регулирования отношений в сфере информации, ИТ и ЗИ

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов РФ при создании информационных систем и их эксплуатации;

5) обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами, если такая обязанность установлена федеральными законами.

149-ФЗ

Статья 5. Информация как объект правовых отношений

1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.

Статья 6. Обладатель информации

1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, РФ, субъект РФ, муниципальное образование.

2. От имени РФ, субъекта РФ, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.

3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

4. Обладатель информации при осуществлении своих прав обязан:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Категорирование информации в РФ

149-ФЗ: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)»

Список тайн – bit.ly/TwftZ8

Важно понимать, что подразумевается под тем или иным термином («тайна связи», «личная и семейная тайна» и пр.), какие есть ограничения и допущения, как считает Суд…

Не додумываем ли мы и другие люди лишнего?..

Вопросы по примеру на картинке:

• Это ПДн?

• Это «личная и семейная тайна»?

• Является ли это «тайной связи»?

• Несет ли владелец забора ответственность за разглашение информации?

Личная и семейная

тайна

Упоминание термина

Конституция РФ (ст.23 п.1): «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.»

ГК РФ (ст.150 п.1): «Жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная тайна, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.»

Понятия «частная жизнь», «личная и семейная тайна» в явном виде не определены…

Комментарий Консультант+: Частная жизнь - это то времяпрепровождение, которое гражданин осуществляет вне службы, вне производственной обстановки, а также вне общественной жизни и общественного окружения. Она включает общение между людьми на неформальной основе в сферах семейной жизни, родственных, дружеских, товарищеских связей, интимных и других личных отношений, привязанностей, симпатий и антипатий. Частная жизнь также проявляется в состоянии здоровья лица (его физических и психических недостатках и т.п.), образе его мыслей, отношении к религии, сексу, в политическом и социальном мировоззрении, увлечениях, творчестве и т.п. Некоторые ученые к сведениям "о личной и частной жизни" лица относят также данные о совершении "нотариальных действий, записи актов гражданского состояния, имущественном положении"

Выдержка из судебной практики: Частная жизнь - это те стороны личной жизни человека, которые он в силу своей свободы не желает делать достоянием других. Это - своеобразный суверенитет личности, означающий неприкосновенность его среды обитания.

Термин

149-ФЗ Статья 9. Ограничение доступа к информации

8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

ГК РФ Статья 152.2. Охрана частной жизни гражданина

1. Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.

2. Стороны обязательства не вправе разглашать ставшую известной им при возникновении и (или) исполнении обязательства информацию о частной жизни гражданина, являющегося стороной или третьим лицом в данном обязательстве, если соглашением не предусмотрена возможность такого разглашения информации о сторонах.

Получение информации

• Идея согласия…

• Идея уведомления…

Уведомление пользователя VS Получение согласия

«Уведомление» «Соглашение» Общая идея В Компании запрещено обрабатывать «личную

информацию» на оборудовании компании и передавать по каналам связи, предоставляемым компанией. Выполнение данного правила (и других) контролируется специальными средствами мониторинга.

Сотрудник дает письменное согласие на мониторинг всей своей переписки

Законное основание

ГК РФ, ТК РФ Конституция РФ, 149-ФЗ, ГК РФ

Общее ощущение

Скорее нейтральное «Работодатель предъявляет требования к использованию своей собственности и контролирует это»

Скорее отрицательное «Работодатель «как бы забирает» право сотрудника на частную жизнь»

Орг. моменты Документирование в любом виде. Например, в качестве пункта документа, регламентирующего ИБ в компании и подписываемого всеми сотрудниками. Важно указать запрет на обработку личной информации и наличие системы мониторинга. Чем больше упоминаний, тем лучше.

Необходима подпись сотрудника в специальном документе – соглашении. Возможны дополнительные вопросы со стороны сотрудников и непринятие соглашения. А если откажутся подписывать?

Сложность реализации

Низкая Средняя

Уведомление о наличии системы мониторинга

В явном виде (но может быть без конкретного описания)

Желательно

• А если все же случайно выявили «личную информацию» в переписке сотрудников и/или на рабочих станциях сотрудников? Что делать дальше? • Ничего

• Попросить сотрудников «больше так не делать», напомнив про письменные правила…

• Удалить / попросить удалить, напомнив про правила

• А если информация «интересная» / «полезная», можем ли ее использовать? • Лучше не надо…

Тайна связи

Конституция РФ (ст.23 п.2): Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Указ Президента РФ №188 "Об утверждении Перечня сведений конфиденциального характера"

п.4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

Упоминание термина

126-ФЗ «О связи». Статья 63. Тайна связи

1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.

Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами.

2. Операторы связи обязаны обеспечить соблюдение тайны связи.

176-ФЗ «О Почтовой связи». Статья 15. Тайна связи

Тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, гарантируется государством.

Осмотр и вскрытие почтовых отправлений, осмотр их вложений, а также иные ограничения тайны связи допускаются только на основании судебного решения.

Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи.

Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных сообщениях, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям.

О связи

Термин «тайна связи» определен лишь в 176-ФЗ «О почтовой связи», что уже интересно…

Тайна связи - тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, не подлежащая разглашению без согласия пользователя услуг почтовой связи.

Термин «оператор связи» определен в 126-ФЗ

Оператор связи - юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.

Термины

Большинство компаний, использующих корпоративную почту для личных нужд, не являются операторами связи. И не должны обеспечивать тайну связи для сообщений, передаваемых посредством корпоративной электронной почты.

При этом компании являются обладателями (собственниками, владельцами) сервиса корпоративно электронной почты и некоторой информации ограниченного доступа (например, КТ), что позволяет устанавливать требования по работе с ними и контролировать их выполнение…

А вот с законностью контроля информации, передаваемой с использованием сервисов мгновенных сообщений, личных ящиков электронной почты, соц.сетей все сложнее…

Вы полагаете, что популярные интернет-сервисы (Mail.ru, Yandex, Google и пр.) обеспечиваю «тайну связи»?

Вы уверены?

А пользовательское соглашение вы читали?

Кстати, а вы в курсе, что они обычно не являются операторами связи?..

Аналогичные вопросы стоит задавать и про социальные сети…

Интересные моменты: • Пользовательское соглашение может быть изменено Mail.Ru без какого-либо специального уведомления • Все Сервисы Mail.Ru, и в том числе почтовый сервис, предоставляются «как есть». Mail.Ru не принимает на себя

никакой ответственности за задержку, удаление, недоставку или невозможность загрузить любые данные • Mail.Ru никаким образом не проверяет предоставляемую Пользователем информацию не расценивает

предоставленные Пользователем учетные данные в качестве ПДн • Mail.Ru не несет ответственности и не гарантирует безопасность электронного почтового ящика Пользователя в

случаях: передачи третьим лицам (умышленно или по неосторожности) Пароля и информационных данных (секретного вопроса и ответа); доступа третьих лиц к электронному почтовому ящику Пользователя с использованием программных средств, позволяющих осуществить подбор и/или раскодирование Пароля; доступа третьих лиц к электронному почтовому ящику Пользователя путем простого подбора Пароля и информационных данных (секретного вопроса и ответа); невыполнение Пользователем рекомендаций, указанных в настоящем Пользовательском соглашении или интерфейсе Сервиса.

• Пользователь соглашается с тем, что загружая на Сайт Материалы, Пользователь предоставляет к ним доступ для остальных зарегистрированных Пользователей по умолчанию. Mail.Ru является лишь средством, позволяющим Пользователю осуществлять доступ и сообщение Материалов для всеобщего сведения.

• Mail.Ru вправе делать копии материалов с целью упорядочения и облегчения публикации и хранения Пользовательского контента на Сайте.

• Mail.Ru вправе, по первому требованию соответствующего уполномоченного правоохранительного и иного уполномоченного государственного органа, но в соответствии с действующим законодательством, передавать такому государственному органу имеющуюся информацию о Пользователе.

• Mail.Ru оставляет за собой право по своему собственному усмотрению изменять (модерировать) или удалять любую публикуемую Пользователем информацию…

• В пределах функционирования Сервисов Mail.Ru обеспечивается тайна сообщений и соблюдается конфиденциальность информации о Пользователях Mail.Ru, за исключением случаев, предусмотренных законодательством Российской Федерации.

А вы читали соглашение

пользователя, например, с Mail.ru?

http://help.mail.ru/mail-help/UA

Про увольнение сотрудницы за пересылку информации с использованием внешней эл.почты

Л. была уволена по п. "в", ч. 6 ст. 81 ТК РФ (разглашение охраняемой законом тайны). Она посчитала, что увольнение было незаконным, поскольку информация, которую она направила на свой электронный адрес, не стала достоянием третьих лиц, поскольку не была разглашена. Л. обратилась в суд с иском к ОАО "АРКТЕЛ" о восстановлении на работе, взыскании заработной платы за время вынужденного прогула, компенсации морального вреда. Из материалов дела усматривается, что 14.11.2006 года Л. была принята на работу в ОАО "АРКТЕЛ" на должность менеджера по кадровому производству. 29 декабря 2007 года истица была переведена на должность начальника отдела по работе с персоналом. Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Приказом Генерального директора ОАО "АРКТЕЛ" N 20 от 23.11.2009 года было утверждено Положение об обеспечении сохранения информации, отнесенной законами Российской Федерации к категории конфиденциальной информации, в ОАО "АРКТЕЛ". Данный приказ был согласован в том числе и с истицей, как начальником отдела по работе с персоналом. Кроме того, данным приказом она была включена в состав Экспертной комиссии. Таким образом, Л. была ознакомлена с содержанием данного Положения, в том числе и с тем, что работа с конфиденциальной информацией должна осуществляться только в помещениях и на оборудовании ОАО "АРКТЕЛ". 11.01.2010 года Генеральным директором ОАО "АРКТЕЛ" Ф. был утвержден список сотрудников ОАО "АРКТЕЛ", допущенных к персональным данным сотрудников. В данный список была включена истица в соответствии с поданной ею заявкой. 18.01.2010 года с Л. был проведен инструктаж по работе со сведениями, составляющими коммерческую тайну, и сведениями, отнесенными к конфиденциальной информации. Указанное обстоятельство истицей не оспаривалось. В ходе планового аудита служебной электронной почты работников компании, обрабатывающих персональные данные, была выявлена периодическая рассылка истицей писем, содержащих персональные данные работников компании на почтовый ящик lirall22@mail.ru, то есть информация была размещена на сервере mail.ru. Компания ООО "Мэйл. Ру" оказывает информационно-телекоммуникационные услуги с использованием своей информационно-телекоммуникационной сети, в состав которой входят и почтовые сервера. Процедура оказания услуг электронной почты компанией ООО "Мэйл. Ру" регламентируется Пользовательским соглашением, текст которого размещен на сайте www.mail.ru, в соответствии с условиями которого ООО "Мэйл. Ру" может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ "Об информации, информационных технологиях и защите информации" названная компания является обладателем информации. Дав правовую оценку указанным выше фактическим обстоятельствам дела в совокупности с представленными сторонами в обоснование своих доводов и возражений доказательствами, суд пришел к выводу о том, что размещенная в результате неправомерных действий истицы информация, содержащая персональные данные работников компании ОАО "АРКТЕЛ", стала доступна третьему лицу - ООО "Мэйл. Ру", в связи с чем дисциплинарное взыскание в виде увольнения по пп. "в" ч. 6 ст. 81 ТК РФ было применено к Л. правомерно. Дисциплинарное взыскание было наложено в пределах установленного ст. 193 ТК РФ срока и с учетом тяжести проступка. Порядок увольнения ответчиком был соблюден, в связи с чем оснований для восстановления истицы на работе не имеется.

Про тайну связи и запросы ФСФР

18 июня 2014 года Высший арбитражный суд РФ признал законным штраф в 500 тысяч рублей, наложенный на компанию «Рамблер Интернет Холдинг» (Rambler&Co) за непредоставление информации об интернет-переписке ее пользователей по требованию Федеральной службы по финансовым рынкам (ФСФР, сейчас — Служба Банка России по финансовым рынкам).

Rambler не единственная российская интернет-компания, пытавшаяся отстоять в суде право пользователя на тайну переписки. В подобное разбирательство с ФСФР ранее также была вовлечена и Mail.ru Group. Ей, правда, удалось доказать в суде законность отказа в доступе к данным переписки.

В обоих случаях ФСФР обращалась к компаниям с требованием предоставить сведения об адресах электронной почты, с которыми конкретные пользователи вели переписку. Сами сообщения при этом не запрашивались. В ответ и Mail.ru, и «Рамблер» указывали суду на то, что эти адреса также относятся к сфере тайны переписки, которая охраняется Конституцией.

http://lenta.ru/articles/2014/06/18/letter

• Слишком «замудренные», много исключений, возможность менять текст соглашения без уведомления Пользователя

• Снимают с себя ответственность «по максимуму» • Декларируют выполнение требований

законодательства • В явном виде стараются не писать об обеспечении

«тайны переписки/сообщений», «личную и семейную тайну», защиту ПДн пользователя

• Отказываются признавать ПДн, или признают, но не выполнят требования 152-ФЗ (хотя и декларируют это). Например, про общедоступность, цели обработки, состав ПДн, передачу третьим лицам и пр.

• Стараются не отпугнуть пользователя…

Основные проблемы соглашений

крупных Интернет-сервисов с

пользователями

Общие рекомендации будут в

конце презентации…

Про спец.средства негласного

съема информации

УК РФ

Не является ли DLP таким средством?

• Постановление Правительства РФ от 10.03.2000 N 214 "Об утверждении Положения о ввозе в РФ и вывозе из РФ специальных технических средств, предназначенных для негласного получения информации, и списка видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию«

• Постановление Правительства РФ от 12.04.2012 N 287 "Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации"

• Постановление Правительства РФ от 16.04.2012 N 314 "Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

• Постановление Правительства РФ от 01.07.1996 N 770 "Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в РФ и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и Перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности"

Полезное законодательство

По ПП314:

"Электронное устройство, предназначенное для негласного получения информации" - специально изготовленное изделие, содержащее электронные компоненты, скрытно внедряемое (закладываемое или вносимое) в места возможного съема защищаемой акустической речевой, визуальной или обрабатываемой информации (в том числе в ограждения помещений, их конструкции, оборудование, предметы интерьера, а также в салоны транспортных средств, в технические средства и системы обработки информации).

По 144-ФЗ «Об оперативно-розыскной деятельности»:

Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность, подлежат лицензированию в соответствии с законодательством Российской Федерации.

DLP-системы не попадают в категорию средств, предназначенных для негласного получения информации.

В настоящее время ввоз и вывоз DLP-систем, а также их разработка, производство, реализация и приобретение

производится без получения соответствующей лицензии.

Кстати, всегда можно отправить запрос о разъяснении в ФСБ России и/или МВД России

Проблема ИСПДн

• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

• Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Термины по ПДн (152-ФЗ)

В архиве DLP системы вполне могут оказаться ПДн (а могут и не оказаться). При использовании терминов 152-ФЗ «в лоб» получается, что DLP может быть ИСПДн…

Но так ли это?

СЗИ и ИСПДн

• АВЗ (при передаче информации файлов на анализ)

• Анти-спам

• Системы резервного копирования

• Шифрование данных (в хранении)

• Шифрование данных (при передаче)

• …

При аналогичном подходе и

другие СЗИ можно считать ИСПДн

СЗНПИ (средство защиты от несанкционированной передачи (вывода) информации) - программные средства, используемые в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, и реализующим функции обнаружения и предотвращения несанкционированной передачи (вывода) информации ограниченного доступа из защищенного сегмента информационной системы на основе анализа смыслового содержания информации

ФСТЭК: DLP = СЗНПИ

Из проекта документов ФСТЭК России (по 15408)

СЗНПИ – класс продуктов, используемых в различных информационных системах, которые предназначены для контроля над выводом из них информации ограниченного доступа на основе анализа содержимого выводимых данных и их окружения

СЗНПИ обеспечивают защиту информации (данных) организации на всех этапах ее жизненного цикла: на этапах хранения, передачи, обработки пользователем. СЗНПИ должна выполнять следующие основные функции по защите информации:

– отслеживание действий пользователей на рабочих станциях, связанных с передачей информации с ограниченным доступом, на отчуждаемые носители, через сеть, выводом на печать, сохранением на локальные диски и т. д.;

– контроль потоков информации во время передачи через сеть с использованием различных сетевых протоколов;

– проверка различных хранилищ данных (базы данных, файловые сервера, системы документооборота, почтовые сервера, рабочие станции и т. д.) на предмет несанкционированного хранения информации с ограниченным доступом (или хранения таких данных в несанкционированных местах).

Еще про СЗНПИ

Из проекта документов ФСТЭК России (по 15408)

Не стоит рассматривать DLP в качестве ИСПДн.

DLP – СЗИ…

Подведем итоги…

1. Документируйте требования по работе с информацией ограниченного доступа

2. Документируйте требования по работе с корпоративными сервисами. В явном виде запретите хранить и передавать «личную информацию»

3. Ознакамливайте сотрудников с требованиями под роспись 4. Повышайте осведомленность и обучайте сотрудников 5. Выберите путь Соглашения или Уведомления сотрудников 6. Определите перечень допустимого ПО и контролируйте

соответствие ему 7. Ориентируйтесь на запрет целенаправленного сбора «личной

информации», а в случае ее выявления постарайтесь не использовать ее (или делайте это не явно)

8. Четко определите для свою позицию по поводу инцидентов (на какой вариант «управленческое решение» вы ориентируетесь?)

9. Консультируйтесь со специалистами ))

ИТОГОВЫЕ ГОРЯЧИЕ РЕКОМЕНДАЦИИ

Полезные материалы

InfoWatch

Отчеты по утечкам информации

• 3-5 отчетов в год • Особо обратите внимание на

ежегодные «глобальные исследования»

• http://www.infowatch.ru/analytics/reports

Категорирование информации в РФ

• 8 страниц

• http://www.infowatch.ru/whitepaper/categorization

• Входит в комплект PRE-DLP Toolkit

10 ошибок сотрудников

• 11 страниц документа с примерами и рекомендациями

• 2 презентации (полная и краткая) + запись вебинара

• Инфографика

• http://80na20.blogspot.ru/2014/02/10.html

• Входит в комплект PRE-DLP Toolkit

DLP и требования ИБ

• 13 страниц с конкретными ссылками на требования: ПДн, Приказы ФСТЭК №21 и №17, СТО БР ИББС, 382-П, PCI DSS, ISO 27001, Закон об инсайдерской информации

• Регулярно обновляется

• Предоставляется по запросу

• Входит в комплект PRE-DLP Toolkit

Оценка ущерба от утечки

• 2 страницы текста

• + веб «калькулятор» (в разработке)

• Предоставляется по запросу

• Входит в комплект PRE-DLP Toolkit

12 простых правил по защите

информации от утечки • 12 простых советов на 1

странице

• Есть/будут дополнительные материалы

• Предоставляется по запросу

• Входит в комплект PRE-DLP Toolkit

PRE-DLP toolkit

PRE-DLP toolkit – это комплект документов (рекомендации, обоснования и пр.) + шаблоны документов

Юр.вопросы DLP

• Про личную и семейную тайны, про тайну связи, про спец.средства негласного съема информации

• Выводы и рекомендации

• Предоставляется по запросу

• Входит в комплект PRE-DLP Toolkit

Меры PRE-DLP

• 5 страниц

• «Связка» с юр.вопросами

• Предоставляется по запросу

• Входит в комплект PRE-DLP Toolkit

Подборка законодательства +

ответственность сотрудников • Подборка (выписка) статьей

из Конституции РФ, УК РФ, ГК РФ, ТК РФ, КоАП…

• 20 страниц + 1 страница

• Предоставляется по запросу

• Входит в комплект PRE-DLP Toolkit

• Политика допустимого использования

• Положение о системе мониторинга

• Перечень информации ограниченного доступа

• Регламент доступа к информации и Перечень допущенных сотрудников

• Пример соглашения с сотрудником

• …

Шаблоны документов

Входит в комплект PRE-DLP Toolkit

Модель угроз утечки информации

Документ содержит модель, процедуру оценки и необходимые для оценки шаблоны

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22 Андрей Прозоров