Документ обсуждает легализацию DLP в компании, акцентируя внимание на юридических аспектах и мерах по защите информации. Также приводятся примеры судебных дел, основанных на DLP, и рекомендации для эффективной обработки и защиты информации ограниченного доступа. Основные правила включают документирование, запрет на разглашение информации и взаимодействие с различными департаментами.

1. Легализация DLP в компании v1.1
ПРОЗОРОВ АНДРЕЙ, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2017-09-12 1

2. Легализация DLP в компании
или «бумажная безопасность»
в действии
ПРОЗОРОВ АНДРЕЙ, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2017-09-12 2

3. Вопросы в зал
1. Были ли у вас в компании случаи утечки информации?
2. А случаи внутреннего мошенничества?
3. Увольняли ли вы за это сотрудников?
4. По статье «разглашение»?
5. А преследовали ли по УК?
2017-09-12 3

4. Зачем нужна «легализация» DLP?
4
Позволит преследовать нарушителей
«по закону» (ТК РФ, УК РФ) и использовать
отчеты DLP в Суде
2017-09-12

5. Надо знать…
• 149-ФЗ
• Особенности обработки и защиты разных видов ИОД
• ТК РФ
• Судебная практика (ТК и УК)
• Конституция РФ (права)
• УК РФ и УПК РФ
• 144-ФЗ (об ОРД)
2017-09-12 5

6. Показательный кейс, DLP не упоминается
2017-09-12 6

7. Отчеты DLP для доказательства в суде
• Дозор-Джет и Контур безопасности:
Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)
• Дозор-Джет:
Дело №33-90/11, Садыков Т.Ф. против ЗАО
• InfoWatch:
Дело №2-11976/2014 ~ М-10846/2014, ФИО1 против Фонда социального страхования
• InfoWatch:
Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО «Национальная
служба взыскания»
• StaffCop
Дело №2-240/2012, Поготовенко Н.Г. против ООО «Шушенская марка»
• McAfee
Дело 2-845/2014 (2-8415/2013), ФИО1 Против АКБ «Российский капитал»
2017-09-12 7

8. 10 Правил и 10 Рекомендаций
2017-09-12 8

9. Правила легализации DLP
1. Документируйте перечень ИОД и лиц, допущенных к обработке
2. Документируйте правила обработки ИОД
3. Запретите разглашать ИОД
4. Установите режим защиты ИОД (особенно КТ)
5. Запретите хранить личную информацию на ресурсах компании и использовать их в личных целях
6. Уведомите о мониторинге до предоставления доступа
7. Понимайте, что утечка – не всегда разглашение
8. Не заигрывайтесь с DLP. Нельзя использовать «сомнительные» доказательства
9. Не торопитесь с управленческими решениями, но следите за сроками
10. Будьте логичны и последовательны
2017-09-12 9

10. Рекомендации по легализации DLP
1. Взаимодействуйте с HR, юристами, ИТ и линейными руководителями
2. Понимайте порядок наложения дисциплинарных взысканий (по ТК РФ) и процедуру увольнения
3. Ведите хронологию инцидентов
4. Используйте принцип «неотвратимости наказания», принимайте осознанные управленческие
решения
5. Ознакамливайте сотрудников с требованиями ИБ и обучайте их
6. Изучайте судебную практику
7. Знайте стратегию аргументации «легальности» DLP
8. Готовьте максимум документов для Суда (если до этого дойдет)
9. Напишите хорошее положение о подразделении ИБ и должностные инструкции
10. Знайте свои сильные и слабые стороны
2017-09-12 10

11. 2017-09-12 11

12. 2017-09-12 12
П1: Документируйте перечень ИОД и лиц,
допущенных к обработке
«В организации определен и документирован перечень информации
ограниченного доступа. Работники организации ознакамливаются с
ним под роспись.»

13. 149-ФЗ: «Статья 5 Информация как объект правовых
отношений.
2. Информация в зависимости от категории доступа к ней
подразделяется на общедоступную информацию, а также на
информацию, доступ к которой ограничен федеральными
законами (информация ограниченного доступа).»
В справке «Консультант +» определено 50 таких сведений.
Часто термины и границы определены не явно, виды тайн
«смешиваются»
13
Термин ИОД
2017-09-12

14. 14
Тайна Основание Тайна Основание
Государственная тайна ФЗ №5485-1 ст.5
УП №1203
149-ФЗ ст.9 п.3
Персональные данные 152-ФЗ
149-ФЗ ст.9 п.9
УП №188 п.1
Коммерческая тайна 98-ФЗ
149-ФЗ ст.9 п.4
УП №188 п.5
Секрет производства
(ноу-хау)
ГК РФ IV ст.1465
УП №188 п.6
Профессиональная тайна 149-ФЗ ст.9 п.4-7
УП №188 п.4
Врачебная тайна 323-ФЗ ст.13
УП №188 п.4
Банковская тайна (тайна
банковских вкладов)
ФЗ №395-1 ст.26
ГК РФ II, ст. 857
Тайна кредитной истории 218-ФЗ ст.6 и 7, содержание
кр.истории – ст.4
Инсайдерская
информация
224-ФЗ Служебная тайна 149-ФЗ ст.9 п.4
УП №188 п.3
Тайна связи (переписки,
переговоров…)
Конституция РФ ст.23 п.2
126-ФЗ ст.63
176-ФЗ ст.15
УП №188 п.4
149-ФЗ ст.9 п.4-7
Личная и семейная тайна Конституция РФ ст.23 п.1
ГК РФ ст.150 п.1
149-ФЗ ст.9 п.8
2017-09-12

15. 98-ФЗ: Не все может быть КТ…
2017-09-12 15
Статья 5. Сведения, которые не могут составлять коммерческую тайну
Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении
следующих сведений:
1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических
лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании
ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной
обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного
функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях
производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об
оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц,имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которымустановлена иными федеральными законами.

16. 2017-09-12 16
П2: Документируйте правила обработки ИОД
«В организации приняты локальные нормативные акты,
определяющие правила обработки и защиты информации
ограниченного доступа. Работники организации ознакамливаются
с ними под роспись.»
• Порядок обработки сведений, составляющих КТ
• Политика в отношении обработки ПДн
• Порядок обработки ПДн
• И пр.

17. 2017-09-12 17
П3: Запретите разглашать ИОД
«Работникам запрещается разглашать информацию ограниченного
доступа, ставшую им известной в связи с исполнением трудовых
обязанностей.»

18. 2017-09-12 18
П4: Установите режим защиты ИОД (особенно КТ)
«Перечень мер и средств защиты информации ограниченного
доступа, применяемых в организации, определен в соответствии с
актуальными угрозами информационной безопасности с учетом
законодательства Российской Федерации, а также требований и
рекомендаций регулирующих органов (ФСТЭК России, РКН, ФСБ России).»
Перечень документов см.далее…

19. 98-ФЗ ст.10 (КТ)
1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны
включать в себя:
1) определение перечня информации,составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления
порядка обращенияс этой информацией и контроляза соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц,
которым такаяинформациябыла предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну,
работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых
договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую
тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа
"Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное
наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя,
отчество гражданина,являющегося индивидуальным предпринимателем,и место жительства).
2017-09-12 19

20. 2017-09-12 20
П5: Запретите хранить личную информацию на
ресурсах компании и использовать их в личных целях
«Корпоративные каналы связи и средства обработки информации
должны использоваться работниками исключительно для служебных
(производственных) целей.
Работникам запрещено хранить личную информацию на корпоративных
ресурсах (рабочие станции и файловые хранилища) и передавать ее по
корпоративным каналам связи (корпоративная электронная почта,
сеть Интернет и другие).»

21. 2017-09-12 21
П6: Уведомите о мониторинге ДО предоставления
доступа
«С целью повышения эффективности и качества работы в организации
на регулярной основе проводится контроль использования работниками
корпоративных средств обработки информации.
В организации на регулярной основе с использованием средств
мониторинга производится контроль выполнения работниками
принятых правил обработки и защиты информации ограниченного
доступа. »
Обратите внимание! Не Получение Согласия, а Уведомление!!!

22. 2017-09-12 22
П7: Понимайте, что утечка – не всегда разглашение
149-ФЗ:
«Конфиденциальность информации - обязательное для выполнения
лицом, получившим доступ к определенной информации, требование не
передавать такую информацию третьим лицам без согласия ее
обладателя.»
Например, копирование информации на флешку – само по себе еще не
разглашение…

23. 2017-09-12 23
П8: Не заигрывайтесь с DLP. Нельзя использовать
«сомнительные» доказательства
• Взлом личной эл.почты и аккаунтов в соц.сетях,
• Досмотр личных вещей
• Скрытая аудио/видео съемка
• Выбивание признания
• Принуждение свидетелей
• и пр.

24. 2017-09-12 24
П9: Не торопитесь с управленческими решениями, но
следите за сроками

25. Процедура упр.инцидентами и ТК РФ
2017-09-12 25
1.Обнаружение и регистрация событий системой
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент (и управленческое решение)
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на
инцидент
6 мес.
1 мес.

26. 2017-09-12 26
П10: Будьте логичны и последовательны
• Правила для всех
• Корпоративная культура ИБ
• Системный и комплексный подход
• Постоянное совершенствование

27. 2017-09-12 27
Р1: Взаимодействуйте с HR, юристами, ИТ и
линейными руководителями

28. 2017-09-12 28
Р2: Понимайте порядок наложения дисциплинарных
взысканий (по ТК РФ) и процедуру увольнения

29. 2017-09-12 29
Из материалов Дела №2-240/2012:
«ДД.ММ.ГГГГ утром И.В. вызвал его в кабинет, известил о
служебных записках, что истец, якобы, просматривает в
Интернете информацию, касающуюся И.В. и его брата И.С.,
отчеты в программе, в рабочее время играет на компьютере.
И.В. предложил истцу уволиться по собственному желанию.
Истец Поготовко Н.Г. предложил уволить его по сокращению
штатов. Тогда И.В. пригрозил Поготовко Н.Г., что уволит по
статье, схватил истца за горло и стал душить, потом вызвал
сотрудников экономической безопасности, объявил истцу
недоверие, приказал сопроводить истца за пределы
территории ООО «Шушенская марка».»

30. ТК РФ
Важно по ТК РФ ст.192-193:
• 1 дисциплинарный проступок – 1 дисциплинарное взыскание
• Не позднее 6 месяцев со дня совершения проступка
• Не позднее 1 месяца со дня обнаруженияпроступка
• Необходимо запросить от работника письменное объяснение
ТК РФ ст.238-250
• Работник обязан возместить работодателю причиненный ему прямой действительный
ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.
• Работник несет материальную ответственность в пределах своего среднего месячного
заработка.Если больше, то нужно судебное решение.
2017-09-12 30

31. ТК РФ
Статья 21. Основные права и обязанности работника
Работник обязан:
• добросовестно исполнять свои трудовые обязанности,возложенные на него трудовым договором;
• соблюдать правила внутреннего трудового распорядка;
• …
Статья 22. Основные права и обязанности работодателя
Работодатель имеет право:
• …
• требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу
работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель
несет ответственность за сохранность этого имущества) и других работников, соблюдения правил
внутреннего трудового распорядка;
• принимать локальные нормативные акты
• …
312017-09-12

32. Основания для прекращения ТД
ТК РФ Статья 77. Общие основания прекращения трудового договора
Основаниями прекращения трудового договора являются:
1) соглашение сторон;
2) истечение срока трудового договора, за исключением случаев, когда трудовые отношения
фактически продолжаются и ни одна из сторон не потребовала их прекращения;
3) расторжение трудового договора по инициативе работника;
4) расторжение трудового договора по инициативе работодателя;
…
9) отказ работника от перевода на работу в другую местность вместе с работодателем;
…
322017-09-12

33. «Полезные» основания для увольнения
Статья 81. Расторжение трудового договора по инициативе работодателя
3) несоответствия работника занимаемой должности или выполняемой работе вследствие
недостаточной квалификации, подтвержденной результатами аттестации;
…
5) неоднократного неисполнения работником без уважительных причин трудовых обязанностей,
если он имеет дисциплинарное взыскание;
…
11) представления работником работодателю подложных документов при заключении трудового
договора;
332017-09-12

34. «Полезные» основания для увольнения
6) однократного грубого нарушения работником трудовых обязанностей:
а) прогула, то есть отсутствия на рабочем месте без уважительных причин в течение всего рабочего дня (смены),
независимо от его (ее) продолжительности, а также в случае отсутствия на рабочем месте без уважительных
причин более четырех часов подряд в течение рабочего дня (смены);
б) появления работника на работе (на своем рабочем месте либо на территории организации - работодателя
или объекта, где по поручению работодателя работник должен выполнять трудовую функцию) в состоянии
алкогольного, наркотического или иного токсического опьянения;
в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей
известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения
персональных данных другого работника;
г) совершения по месту работы хищения (в том числе мелкого) чужого имущества, растраты, умышленного его
уничтожения или повреждения, установленных вступившим в законную силу приговором суда или
постановлением судьи, органа, должностного лица, уполномоченных рассматривать дела об административных
правонарушениях;
д) установленного комиссией по охране труда или уполномоченным по охране труда нарушения работником
требований охраны труда, если это нарушение повлекло за собой тяжкие последствия (несчастный случай на
производстве, авария,катастрофа) либо заведомо создавалореальную угрозу наступления таких последствий;
342017-09-12

35. 2016-04-14 35
Увольнение
по инициативе работника
Увольнение
по соглашению сторон
Увольнение
по инициативе работодателя
Основание ТК РФ ст.80 ТК РФ ст.78 ТК РФ ст.81
За разглашение – ст.81 п.6 в)
Мотив компании Без сложностей расстаться с
нелояльным сотрудником
Расстаться с работником,
минимизировать
возможные риски
Наказать, создать прецедент для
других работников
Ограничение по
срокам
Минимальное (2 недели), но
работник может отозвать
заявление
Нет Не позднее 6 месяцев со дня
совершения проступка,
Не позднее 1 месяца со дня
обнаружения
Обида сотрудника Обычно нет, если увольнение
без принуждения
Обычно нет, при хороших
условиях соглашения
Обычно да
Желание
оспорить в суде
Возможно, если было
принуждение к увольнению
Обычно желания нет. Суд на
стороне работодателя
Да, особенно если есть сильные
аргументы (ошибки при
увольнении, принуждение, оговор)
Что другие
работники
думают?
«Компания не хочет проблем» «За сотрудником сила,
компания не хочет
проблем»
«За компанией сила, могут
наказать»

36. «Идеальная» процедура увольнения по ст.81 п.6 в)
2017-09-12 36
№ Шаги Ключевое
подразделение
Документы
1. Обнаружение инцидента, сбор
дополнительной информации
ИБ Краткий отчет об инциденте, Служебная записка
2. Обсуждение возможных вариантов
реагирования
Руководство и HR Приказ о проведении служебного
расследования (о создании Комиссии)
3. Запрос объяснительной записки от
работника (желательно под роспись)
HR Объяснительная записка / Акт об отказе
4. Заседание Комиссии
(хорошей практикой является заседание
2х комиссий: по расследованию и по
кадровым вопросам)
HR, ИБ Протокол(-ы) заседания комиссии
(краткое описание инцидента, оценка тяжести
проступка, обстоятельства дела, величина
ущерба, решение)
5. Принятие решения об увольнении,
издание соответствующего приказа
HR, руководство Приказ о применении дисциплинарного
взыскания / Акт об отказе ознакомления

37. Шаблоны для увольнения
2017-09-12 37

38. Мнение Верховного Суда РФ
В случае оспаривания работником увольнения по подпункту "в" пункта 6 части
первой статьи 81 Кодекса работодатель обязан представить доказательства,
свидетельствующие о том, что:
1. сведения, которые работник разгласил, в соответствии с действующим
законодательством относятся к государственной, служебной, коммерческой
или иной охраняемой законом тайне либо к персональным данным другого
работника,
2. эти сведения стали известны работнику в связи с исполнением им трудовых
обязанностей,
3. и он обязывался не разглашать такие сведения.
МВА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (CSO) 38
Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010)
"О применении судами Российской Федерации Трудового кодекса Российской Федерации"

39. 2017-09-12 39
Р3: Ведите хронологию инцидентов
Пригодится для Суда и контроля сроков

40. 2017-09-12 40
Р4: Используйте принцип «неотвратимости
наказания», принимайте осознанные
управленческие решения

41. Модель принятия решения по инцидентам
2017-09-12 41
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника?
Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?
Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого?
Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого сотрудника?
Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
Если сумма баллов до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
<- Самый важный вопрос…

42. Решение по инцидентам утечки
2017-09-12 42
1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Обучение и повышение осведомленности
5. Лишение благ и привилегий (втч и лишение прав доступа)
6. Дисциплинарные взыскания:
◦ замечание
◦ выговор
◦ увольнение по соответствующим основаниям
7. Увольнение по инициативе работника / по соглашению сторон
8. Возмещение ущерба
9. Уголовное преследование
10. Прочее
Б) По решению руководства и HR
В) По решению руководства,
HR, юристов и ИБ.
Необходимо четкое понимание
процедур и высокий уровень
«бумажной безопасности»
А) По решению ИБ

43. 2016-04-14 43
Наказание по ТК РФ Наказание по УК РФ
Мотив работодателя Хотим наказать быстро и
просто, нужен прецедент
Хотим сильно наказать
(большой ущерб), нужен
громкий прецедент
Основание ТК РФ ст.81 УК РФ ст.183, 185.5, ст.159,163
ст.272-274
Возмещение ущерба Обычно нет По решению суда, но надо
доказать величину ущерба
Трудозатраты Низкие Средние
Общая длительность До 1 месяца Может быть несколько лет
Процедура Простая, по ТК РФ Сложная, по УПК РФ
Взаимодействие с
правоохранительными
органами
Нет МВД России / ФСБ России
Сложность сбора
доказательной базы
Низкая, решение принимает
внутренняя комиссия
Высокая, необходимо соблюсти
все формальные процедуры

44. Про доказательства для Суда
2017-09-12 44
Важные:
По ТК РФ: Объяснительная от работника (либо Акт об отказе), Служебная
записка об инциденте и Протокол заседания комиссии, рассматривающей
инцидент. В документах следует указать краткое описание инцидента, оценку
тяжести и обстоятельства совершенного проступка.
По УПК: Показания потерпевшего, свидетеля, Заключение и показания эксперта
и Заключение и показания специалиста, Вещественные доказательства.
Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к отчету
рекомендуется приложить краткое описание решения с указанием сертификатов
(подойдет брошюра от производителя).

45. 45
Важные статьи УК РФ
• Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или
банковскую тайну
• Статья 185.6. Неправомерное использование инсайдерской информации
• Статья 147. Нарушение изобретательских и патентных прав
• Статья 159. Мошенничество
• Статья 163. Вымогательство
• Статья 272. Неправомерный доступ к компьютерной информации
• Статья 273. Создание, использование и распространение вредоносных компьютерных программ
• Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной
информации и информационно-телекоммуникационных сетей
• Статья 276. Шпионаж
• Статья 283. Разглашение государственной тайны
2017-09-12

46. 2017-09-12 46
Р5: Ознакамливайте сотрудников с
требованиями ИБ и обучайте их

47. Обучение и повышение осведомленности
47
Кто? Тематики
Рядовые пользователи • Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-специалисты • Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации,
взысканий,увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации
2017-09-12

48. 2017-09-12 48
Р6: Изучайте судебную практику
https://rospravosudie.com

49. 2017-09-12 49
Р7: Знайте стратегию аргументации «легальности» DLP

50. Этим пугают… Бууу!!!
2017-09-12 50
Конституция РФ статья 23
1) Каждый имеет право на неприкосновенность частной жизни,
личную и семейную тайну, защиту своей чести и доброго имени.
2) Каждый имеет право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений.
Ограничение этого права допускается только на основании
судебного решения.
УК РФ
• Статья 137. Нарушение неприкосновенности частной жизни
• Статья 138. Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных или иных сообщений

51. Почему можно использовать DLP?
1. По 149-ФЗ (ст.6) у обладателя информации (организация) есть права
разрешать и ограничивать доступ к информации, определять порядок и
условия такого доступа, принимать меры по защите информации…
2. Работодатель не предполагает наличие личной информации на
корпоративных устройствах (это в явном виде запрещено). Работники
уведомлены, что используются средства мониторинга и контроля
3. DLP, как мера защиты, определена регулятором (Приказы ФСТЭК России
№21/№17, мера ОЦЛ.5)
4. Изучите судебную практику! Уже есть дела, выигранные работодателем,
контролирующим рабочую переписку и использующим DLP
5. Придерживайтесь стратегии аргументации при использовании DLP
(см.далее)
2017-09-12 51

52. Стратегия аргументации (DLP)
2017-09-12 52
1. Работодатель, как обладатель (владелец) информации, информационных систем и сервисов, обладает
правом предъявлять требования по их использованию и контролировать их выполнение. В организации
определен Перечень информации ограниченного доступа, Правила работы с информацией
ограниченного доступа, Политика допустимого использования (средств обработки и ИТ-сервисов). В
частности, в явном виде запрещена передача информации ограниченного доступа с использованием
персональных средств и систем (например, личной электронной почты или мессенджеров, не
утвержденных в организации).
2. Работникам в явном виде запрещено хранить личную информацию на корпоративных ресурсах (рабочие
станции и файловые хранилища) и передавать ее по корпоративным каналам связи (эл.почта и сеть
Интернет).
3. Работники уведомлены, что правила использования корпоративной информации и информационных
ресурсов регулярно контролируются с использованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого рода услуги и не обеспечивает
тайну связи для передачи информации по своим корпоративным каналам. О возможности мониторинга
и контроля корпоративной переписки известно работникам (см.п 3).

53. …продолжение
2017-09-12 53
5. У работодателя отсутствует умысел нарушения тайны частной жизни работников. Предполагается, что на
контролируемыхресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то она будет удалена, а к
работнику могут применяться дисциплинарные взыскания за нарушение правил внутреннего трудового
распорядка.
7. Обнаруженная личная информация не будет использована (по крайней мере официально) при
принятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников. Содержание информации,
хранимой в личных сервисах передачи данных (например, внешняя эл.почта) не проверяется даже при
получении такой возможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при контроле входящей почты.
Работники уведомлены, что они обязаны уведомить тех, с кем общаются, о недопустимости
использовании корпоративных сервисов для осуществления любых видов коммуникаций, не связанных
со служебной деятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет использована (по крайней мере
официально) при принятии решений.

54. 2017-09-12 54
Р8: Готовьте максимум документов для Суда
(если до этого дойдет)

55. 2017-09-12 55

56. Положения, необходимые для DLP
2017-09-12 56
1. Перечень информации ограниченного доступа
(ПДн, КТ, СТ, БТ, ВТ, и пр.)
2. Запрет разглашения информации ограниченного доступа
3. Положения об ответственности работников
4. Правила обработки и защиты информации
5. Запрет хранения личной информации на корп.устройствах
6. Правила обработки и защиты информации регулярно контролируются
с использованием средств мониторинга
7. Сотрудники подразделения ИБ обеспечивают контроль выполнения
правил и реагирование на инциденты ИБ
8. Система защиты информации соответствует актуальным угрозам, а
также требованиям и рекомендация регулирующих органов

57. Общий комплект документов (для Суда)
2017-09-12 57

58. 2017-09-12 58
Р9: Напишите хорошее положение о подразделении
ИБ и должностные инструкции
«Сотрудники подразделения, отвечающего за обеспечение
информационной безопасности организации, в рамках своих служебных
обязанностей занимаются контролемсоблюдения работниками
организации правил обработки и защиты информации ограниченного
доступа и реагированием на инциденты информационной
безопасности.»

59. 2017-09-12 59
Р10: Знайте свои сильные и слабые стороны
Для выстраивания диалога с нарушителями и подготовки стратегии
аргументации в Суде

60. Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2017-09-12 60
Спасибо за внимание!