Как следует работать с DLP ? От рутины до судебного процесса (original) (raw)

Правильное регламентирование и поддержание режима коммерческой тайны (Федеральный закон от 29.07.2004 г. № 98-ФЗ) необходимы, чтобы в случае утечки компания могла доказать — эта информация имела особую ценность. Важно включить понятие и правила обращения с коммерческой тайной в должностные инструкции. Все физические носители с коммерческой тайной «на борту» должны быть помечены соответствующим грифом. Параллельно необходимо подписать NDA c сотрудниками и контрагентами и четко изложить, какие данные являются чувствительными и какие действия будут считаться нарушением.

Но вернемся к хранению и использованию личных данных сотрудников. «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»; «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения», — гласит статья 23 (ч. 1) Конституции РФ. Есть компании, которые лояльно относятся к обмену личной информацией на рабочем месте. Действительно ли работодателю интересна ваша личная переписка? Нет, это просто один из каналов, который может попадать под мониторинг. Никто не планирует за вами следить, цель системы — выявлять угрозы или факты утечки конфиденциальной информации. Она подобна киту, который процеживает воду в поисках планктона. Но этой «воды» можно избежать: для этого нужно ввести в трудовой договор и внутренние регламенты запрет на использование рабочего оборудования в личных целях (в том числе — ведение переписок). А также предупредить сотрудников о мониторинге рабочих станций, которые предназначены только для решения служебных задач. Причем мониторинг может включать фото- и видеосъемку человека и его рабочего места, запись логов, фиксацию электронной почты, съемных носителей, мессенджеров, облачных и локальных хранилищ, веб-трафика и др. Между частной и трудовой жизнью должна быть четкая грань — в этом случае ничьи конституционные права не будут нарушены.

Нужно проводить обучение для сотрудников (под роспись) и объяснять, как нужно обращаться с рабочими устройствами и информацией. Четко разъяснять принятые в компании правила обработки данных и санкции, которые будут применены в случае нарушений. После этого любой кейс использования оборудования в личных целях — это исключительно ответственность сотрудника. Если человек получит замечание, но ситуация повторится, внутренние документы помогут зафиксировать дисциплинарное нарушение согласно ТК РФ.

Работа — это место для служебного общения в интересах работодателя. Сотрудник не сможет доказать факт нарушения своих конституционных прав, если компания четко все регламентировала. Но и здесь, само собой, бывают исключения. Тем не менее, регламенты помогут, если вам придется отстаивать интересы компании в суде.

Если суда не избежать

Процесс сбора данных из DLP не так прост: и в части документальной фиксации инцидента, и в плане сбора доказательной базы. От этих факторов будет зависеть не только успех дела, но и принятие кейса на рассмотрение судом. Помочь в этом вопросе на этапе проектирования и администрирования DLP-системы могут ИТ-специалисты, квалифицированные в области информационного права.
Работодатели достаточно часто выигрывают суды. Например, одна из сотрудниц Фонда социального страхования заинтересовала внутреннюю службу безопасности (Дело № 2-11976/2014). Она отключила DLP-агент на своем рабочем компьютере. Собирала на нем конфиденциальные данные, причем официального доступа к ним у нее не было.

Распространяла и распечатывала внутренние документы. При этом в организации были четкие регламенты по обращению с конфиденциальной информацией. Суд посчитал доказательства достаточными и признал вину нарушительницы — она была уволена. Но нужно помнить, что в зависимости от характера нарушения (от тяжести последствий и категории информации, ушедшей за периметр компании) к человеку может быть применено как административное, так и уголовное наказание.

Если вы решили провести служебное расследование и планируете использовать в нем данные из DLP-системы, нужно учесть множество нюансов. Несколько обязательных шагов:

Шаг 1. Убедитесь, что ваша DLP-система сертифицирована ФСТЭК России.

Шаг 2. Зафиксируйте и подробно опишите инцидент.

Шаг 3. Сформируйте приказ о проведении внутреннего расследования. Важный момент: сотрудники, которые занимаются служебными расследованиями, должны иметь соответствующие полномочия.

Шаг 4. Потребуйте у сотрудника объяснений. Если он не согласится, составьте акт об отказе от дачи объяснений о случившемся.

Шаг 5. Соберите доказательства по свежим следам. Например, скриншоты или видео с камер наблюдения, показания свидетелей. Все доказательства нужно нотариально зафиксировать — это существенно повысит их вес в суде.

Шаг 6. Составьте акт по результатам расследования.

При соблюдении всех тонкостей DLP-cистема может стать ценным инструментом для предотвращения угроз и сбора доказательств против сотрудников-нарушителей. Но важно помнить, что внедрение DLP — это не разовый проект, а процесс, который нужно легализовать, поддерживать и модифицировать вместе с развитием компании. Далеко не все готовы заниматься этим самостоятельно, но есть специалисты, которые всегда могут прийти на помощь.