Как защититься от утечек информации и не нарушить закон
02.08.2019

Сложно найти руководителя, который скажет: «Контролировать сотрудников не нужно». Большинство топов понимает, что от этого зависит не только безопасность бизнеса, но и безопасность данных о самих сотрудниках, клиентах и партнерах. Вопрос в том, как организовать контроль законно. Именно его клиенты задают разработчикам DLP-систем чаще всего. 

Юридическое обоснование DLP

Контролировать действия сотрудников на работе вполне реально без конфликта интересов. Если все сделать правильно, вопросов к системе контроля не возникнет ни в коллективе, ни у регуляторов. 

Определите границы

Для начала изучим матчасть. Начнем с Трудового кодекса, который регулирует рабочие отношения. Статья 91 ТК говорит, что в рабочее время сотрудник обязан трудиться. Для этого работодатель должен обеспечить его необходимым оборудованием и техсредствами и вправе требовать исполнения трудовых обязанностей (ст. 22 ТК РФ). Больше того, работодатель обязан создать условия для поддержания дисциплины труда (ст. 189 ТК РФ). 

То есть закон буквально предписывает владельцам бизнеса контролировать своих подчиненных. Предоставленное работнику оборудование принадлежит компании, и собственник может распоряжаться им по своему усмотрению (ч. 2 ст. 209 ГК РФ): дал сотруднику компьютер – вправе установить ПО для контроля.

В некоторых отраслях контроль персонала специальными средствами – требование регулятора. Это необходимо для защиты персональных данных (по 152-ФЗ) и данных в автоматизированных системах управления на объектах критической информационной инфраструктуры (187-ФЗ). Охраняются законом медицинская и банковская тайны, информация в государственных информационных системах. Особые требования существуют по защите государственной тайны. Так что контроль – не прихоть, а прямая обязанность работодателя.  

Случай из практики

Сотрудники крупного мобильного оператора выбросили на свалку архив документов с личными данными клиентов – ксерокопии паспортов, анкеты с указанием адресов и телефонов, сведения о приобретенных продуктах и то, какими услугами они пользовались. Инцидентом заинтересовалась прокуратура, направила жалобу на оператора в Роскомнадзор. 

В результате компании пришлось забрать документы со свалки, пройти проверку регулятора, провести внутреннее расследование и «погасить» негатив в СМИ. Будь в компании налажен лучший контроль за действиями сотрудников, всех этих хлопот можно было бы избежать. 

Обозначьте цели

В то же время статья 23 Конституции РФ гарантирует каждому гражданину право на неприкосновенность частной жизни. Сюда входит тайна телефонных переговоров и переписки, в том числе электронной: на почте, в мессенджерах и так далее. Именно она – камень преткновения интересов работодателя и сотрудников.

Но, например, DLP-системы собирают всю информацию, которую сотрудники передают друг другу на рабочем компьютере. Если с рабочего аккаунта ваш подчиненный решит обсудить с другом личную жизнь, данные скомпрометируются автоматически. 

Значит ли это, что работодатель тут же нарушит закон? Нет. Статья 24 Конституции предусматривает, что третьи лица могут получить доступ к персональным сведениям, если гражданин лично дал на это согласие. 

Этот факт должен быть оформлен как документ – информированное согласие о внедрении в компании средств контроля под расписку каждого сотрудника. Иначе в случае серьезного инцидента информацию нельзя будет использовать как доказательство в суде. 

Случай из практики

В одной компании установили DLP, сообщили об этом сотрудникам, но информированное согласие с ними не подписали. В результате ИБ-специалист оказался в патовом положении. Получил информацию из DLP о том, что менеджер копировала на флешку базу клиентов и другие конфиденциальные документы компании. А также увидел, что менеджер переписывалась с представителем конкурента и обещала прийти к ним работать с базой данных.

Так как внедрение DLP не было оформлено по закону, собранные программой доказательства нельзя было использовать официально, а сотрудница была вправе оспорить сам факт их сбора без ее ведома. Ситуацию спасло то, что после разговора с ИБ-специалистом и предъявления доказательств, сотрудница признала вину и уволилась по собственному желанию. Флешку изъяли, но с того дня официальное оформление информированного согласия сотрудников стало в компании приоритетом. 

Важно, чтобы процедура не стала формальностью. Работники должны четко понимать, как и для чего будут использоваться системы контроля. 

Для этого:

1. Составьте документ и по пунктам изложите в нем задачи использования системы в компании:

  • для контроля за соблюдением трудового распорядка и должностных инструкций; 
  • для контроля за использованием предоставленного сотрудникам оборудования компании; 
  • для обеспечения защиты коммерческой тайны и соблюдения конфиденциальности информации, как того требуют регуляторы.

Подчеркните: контроль нужен, чтобы защищать данные компании, и не более того. Эти данные содержатся в файлах в памяти компьютера и других хранилищах, могут передаваться в переписках. Именно за ними «следит» система – объясните это персоналу. 

2. Введите обязательство использовать информационные ресурсы и техсредства компании исключительно для выполнения трудовых обязанностей. Запретите хранить и передавать личную информацию на рабочем оборудовании и в корпоративных сервисах. Дополните этими пунктами все трудовые договоры и должностные инструкции персонала.  

Так вы донесете до коллектива, с одной стороны, что компьютеры, данные на них и даже интернет в офисе принадлежат компании. С другой – что не посягаете на личную жизнь работников. Чтобы случайно не впустить работодателя на «частную территорию» – например, в личный аккаунт в соцсети – сотрудникам придется не использовать имущество компании в личных целях.

Создайте условия

Мало просто поставить коллектив перед фактом, что отныне действуют запреты и внедряется система контроля. Чтобы все работало, нужно создать в компании режим защиты информации.  

Вот как это сделать:

  1. Введите положение о служебной, коммерческой (или другой в зависимости от сферы бизнеса) тайне. Четко изложите, что составляет тайну, какая информация подлежит, а какая не подлежит разглашению. Добавьте в трудовые договоры сотрудников пункт о неразглашении тайны. 
  2. Определите правила работы с информацией, составляющей тайну. Разграничьте доступ к этой информации, создайте перечень сотрудников или должностей, которым можно работать с критическими сведениями. Обеспечьте, чтобы разграничение действительно работало: это можно сделать, например, через настройку прав для учетных записей пользователей.
  3. Настройте политики безопасности в системе контроля так, чтобы они не противоречили принятым в компании правилам и собственно бизнес-процессам. Можно запретить пересылку за пределы компании закрытой информации. Но если признать таковой коммерческие предложения, ваши сейлы не смогут отправлять КП потенциальным клиентам.

Отразив это в документах, вы погасите возможное недовольство сотрудников. Если работодатель действует в открытую, в конечном счете повышается доверие коллектива – значит, снижается вероятность намеренных нарушений.

Но контроль – это не только про защиту «внутренней кухни». Компании, кроме собственной коммерческой тайны, имеют дело с персональными данными клиентов и партнеров, информацией о критических объектах инфраструктуры и другими важными сведениями. Вопрос их сохранности в вашем бизнесе приобретает общественную значимость.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.