Юридические аспекты

использования DLP

систем: теория и практика

Андрей Прозоров, CISM

Ведущий эксперт по

информационной безопасности

2015-06

• Многие Заказчики уже не задаются вопросом «Зачем DLP?»

• А спрашивают нас «Как правильно/лучше использовать DLP?»

Процесс реагирования

Выявленная утечка

Подозрение об утечке

Регулярный анализ

Внутреннее / внешнее

расследование (анализ

инцидента)

«Управленческое решение»

Что стоит за утечкой? Может…

• Производственная необходимость

• Глупость и невнимательность

• Корыстные интересы, месть, обида, желание сменить работу

Реакция должна быть разной… Но «когда нужно стрелять — стреляй, а не болтай»

Про Суд: Типовые сценарии

Обиженный и уволенный за разглашение информации работник обращается в суд для восстановления на работе, отмены записи в трудовой книжке, взыскания среднего заработка за время вынужденного прогула и возмещения морального ущерба

Работодатель обращается в Суд и/или пишет заявление в МВД России для возмещения ущерба, нанесенного работником (из-за кражи информации и/или мошеннических действий)

Работодатель пишет заявление в МВД России о преступлении (кража информации и/или мошеннические действия)

ТК РФ ст.81 п.6 в) – увольнение за разглашение ТК РФ ст.192, 193 – про дисциплинарные взыскания

ТК РФ ст.232,233, 238-250 – про возмещение ущерба ГК РФ ст.1472 – про секрет производства 98-ФЗ ст.11 п.3 3), 4, 5 – про возмещение убытков (КТ)

УК РФ ст.183 – незаконное получение и разглашение (КТ, НТ, БТ) + ст.272 - Неправомерный доступ к компьютерной информации + ст.273 - Создание, использование и распространение вредоносного ПО + ст.274 - Нарушение правил эксплуатации средств хранения, обработки или передачи информации

Уво

льн

ен

ие

В

озм

ещ

ен

ие

ущ

ер

ба

Уго

ло

вно

е

пр

есл

едо

ван

ие

Управление "К" МВД России

https://mvd.ru/mvd/structure1/Upravlenija/Upravlenie_K_MVD_Rossii

https://mvd.ru/request_main

ЦИБ ФСБ России

http://www.fsb.ru/fsb/webreception.htm

http://www.fsb.ru/fsb/supplement/contact.htm

Контакты

"Уголовно-процессуальный кодекс Российской Федерации" от 18.12.2001 N 174-ФЗ Федеральный закон от 12.08.1995 N 144-ФЗ "Об оперативно-розыскной деятельности" МВД России • Федеральный закон от 07.02.2011 N 3-ФЗ "О полиции" • Указ Президента РФ от 01.03.2011 N 248 "Вопросы Министерства внутренних дел Российской Федерации" (вместе с

"Положением о Министерстве внутренних дел Российской Федерации") • Приказ МВД России от 17.10.2013 N 850 "Об утверждении Регламента Министерства внутренних дел Российской

Федерации" (Зарегистрировано в Минюсте России 12.11.2013 N 30359) • Приказ МВД России от 12.09.2013 N 707 "Об утверждении Инструкции об организации рассмотрения обращений

граждан в системе Министерства внутренних дел Российской Федерации" (Зарегистрировано в Минюсте России 31.12.2013 N 30957)

• Приказ МВД России от 29.08.2014 N 736 "Об утверждении Инструкции о порядке приема, регистрации и разрешения в территориальных органах Министерства внутренних дел Российской Федерации заявлений и сообщений о преступлениях, об административных правонарушениях, о происшествиях" (Зарегистрировано в Минюсте России 06.11.2014 N 34570)

• …

ФСБ России • Федеральный закон от 03.04.1995 N 40-ФЗ "О Федеральной службе безопасности" • Указ Президента РФ от 11.08.2003 N 960 "Вопросы Федеральной службы безопасности Российской Федерации" • Приказ ФСБ России от 18.09.2008 N 464 "Об утверждении Регламента Федеральной службы безопасности Российской

Федерации" (Зарегистрировано в Минюсте России 03.10.2008 N 12394) • Приказ ФСБ России от 30.08.2013 N 463 "Об утверждении Инструкции об организации рассмотрения обращений

граждан Российской Федерации в органах федеральной службы безопасности" (Зарегистрировано в Минюсте России 20.11.2013 N 30420)

• …

Приказ МВД России N 776, Минобороны России N 703, ФСБ России N 509, ФСО России N 507, ФТС России N 1820, СВР России N 42, ФСИН России N 535, ФСКН России N 398, СК России N 68 от 27.09.2013 "Об утверждении Инструкции о порядке представления результатов оперативно-розыскной деятельности органу дознания, следователю или в суд" (Зарегистрировано в Минюсте России 05.12.2013 N 30544)

Про расследования

• Слабое понимание особенностей режима для различных видов тайн (ПДн, КТ, ВТ, СТ, БТ и пр.). Отсутствие перечня информации ограниченного доступа. Отсутствие ограничения доступа к информации и других необходимых мер защиты

• «Простые» нарушения при сборе доказательной базы:

– Взлом личной электронной почты, аккаунтов в соц.сетях и др.*

– Скрытая аудио и видео съемка*

– Неправомерное изъятие личных средств обработки и хранения информации*

– «Выбивание» признания

– Принуждение свидетелей

Типовые ошибки (общие)

см.далее

* - если не ОРМ

УК РФ: • Ст. 137. Нарушение неприкосновенности частной жизни • Ст.138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных

сообщений • Ст. 272. Неправомерный доступ к компьютерной информации • Ст. 273. Создание, использование и распространение вредоносных компьютерных программ • Ст. 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной

информации и информационно-телекоммуникационных сетей • Ст. 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного

получения информации • Ст. 139. Нарушение неприкосновенности жилища • Ст. 303. Фальсификация доказательств и результатов оперативно-разыскной деятельности • Ст. 309. Подкуп или принуждение к даче показаний или уклонению от дачи показаний либо к

неправильному переводу • Ст. 119. Угроза убийством или причинением тяжкого вреда здоровью • Ст. 302. Принуждение к даче показаний

КоАП: • Ст. 20.16. Незаконная частная детективная или охранная деятельность • Ст. 20.23. Нарушение правил производства, хранения, продажи и приобретения специальных

технических средств, предназначенных для негласного получения информации • Ст. 20.24. Незаконное использование специальных технических средств, предназначенных для

негласного получения информации, в частной детективной или охранной деятельности

Наказание Работодателя за

«простые» нарушения

14. Поскольку ограничение права гражданина на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений допускается только на основании судебного решения (ч. 2 ст. 23 Конституции Российской Федерации), судам надлежит иметь в виду, что в соответствии с Федеральным законом Российской Федерации "Об оперативно-розыскной деятельности" проведение оперативно-розыскных мероприятий, ограничивающих указанные конституционные права граждан, может иметь место лишь при наличии у органов, осуществляющих оперативно-розыскную деятельность, информации о признаках подготавливаемого, совершаемого или совершенного противоправного деяния, по которому производство предварительного следствия обязательно; о лицах, подготавливающих, совершающих или совершивших противоправное деяние, по которому производство предварительного следствия обязательно; о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации. Перечень органов, которым предоставлено право осуществлять оперативно-розыскную деятельность, содержится в названном Законе.

Эти же обстоятельства суды должны иметь в виду при рассмотрении материалов, подтверждающих необходимость проникновения в жилище против воли проживающих в нем лиц (ст. 25 Конституции Российской Федерации), если такие материалы представляются в суд органами, осуществляющими оперативно-розыскную деятельность.

Обратить внимание судов на то, что результаты оперативно-розыскных мероприятий, связанных с ограничением конституционного права граждан на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а также с проникновением в жилище против воли проживающих в нем лиц (кроме случаев, установленных федеральным законом), могут быть использованы в качестве доказательств по делам, лишь когда они получены по разрешению суда на проведение таких мероприятий и проверены следственными органами в соответствии с уголовно-процессуальным законодательством.

Постановление Пленума Верховного Суда РФ от 31.10.1995 N 8

• Нарушение процедуры увольнения (сроки и документы) • Отсутствие подтверждения факта разглашения информации

(канал утечки)

• Сложность с расчетом ущерба; отсутствие прямого действительного ущерба. ТК РФ ст.238: «Неполученные доходы (упущенная выгода) взысканию с работника не подлежат»

• Нарушение процедуры сбора доказательной базы; отсутствие гарантий неизменности цифровых доказательств

• Доказательство вины, достаточность доказательств

Типовые ошибки (частные)

Статья 141. Заявление о преступлении

1. Заявление о преступлении может быть сделано в устном или письменном виде.

2. Письменное заявление о преступлении должно быть подписано заявителем.

3. Устное заявление о преступлении заносится в протокол, который подписывается заявителем и лицом, принявшим данное заявление. Протокол должен содержать данные о заявителе, а также о документах, удостоверяющих личность заявителя.

4. Если устное сообщение о преступлении сделано при производстве следственного действия или в ходе судебного разбирательства, то оно заносится соответственно в протокол следственного действия или протокол судебного заседания.

5. В случае, когда заявитель не может лично присутствовать при составлении протокола, его заявление оформляется в порядке, установленном статьей 143 настоящего Кодекса.

6. Заявитель предупреждается об уголовной ответственности за заведомо ложный донос в соответствии со статьей 306 Уголовного кодекса Российской Федерации, о чем в протоколе делается отметка, которая удостоверяется подписью заявителя.

7. Анонимное заявление о преступлении не может служить поводом для возбуждения уголовного дела.

Статья 23. Привлечение к уголовному преследованию по заявлению коммерческой или иной организации

Если деяние, предусмотренное главой 23 Уголовного кодекса Российской Федерации, причинило вред интересам исключительно коммерческой или иной организации, не являющейся государственным или муниципальным предприятием либо организацией с участием в уставном (складочном) капитале (паевом фонде) государства или муниципального образования, и не причинило вреда интересам других организаций, а также интересам граждан, общества или государства, то уголовное дело возбуждается по заявлению руководителя данной организации или с его согласия. Причинение вреда интересам организации с участием в уставном (складочном) капитале (паевом фонде) государства или муниципального образования одновременно влечет за собой причинение вреда интересам государства или муниципального образования.

Заявление о преступлении

Статья 24. Основания отказа в возбуждении уголовного дела или прекращения уголовного дела 1. Уголовное дело не может быть возбуждено, а возбужденное уголовное дело подлежит прекращению по следующим основаниям:

1) отсутствие события преступления;

2) отсутствие в деянии состава преступления;

3) истечение сроков давности уголовного преследования;

4) смерть подозреваемого или обвиняемого, за исключением случаев, когда производство по уголовному делу необходимо для реабилитации умершего;

5) отсутствие заявления потерпевшего, если уголовное дело может быть возбуждено не иначе как по его заявлению, за исключением случаев, предусмотренных частью четвертой статьи 20 настоящего Кодекса;

6) отсутствие заключения суда о наличии признаков преступления в действиях одного из лиц, указанных в пунктах 2 и 2.1 части первой статьи 448 настоящего Кодекса, либо отсутствие согласия соответственно Совета Федерации, Государственной Думы, Конституционного Суда Российской Федерации, квалификационной коллегии судей на возбуждение уголовного дела или привлечение в качестве обвиняемого одного из лиц, указанных в пунктах 1 и 3 - 5 части первой статьи 448 настоящего Кодекса.

Основание отказа

Статья 73. Обстоятельства, подлежащие доказыванию

1. При производстве по уголовному делу подлежат доказыванию:

1) событие преступления (время, место, способ и другие обстоятельства совершения преступления);

2) виновность лица в совершении преступления, форма его вины и мотивы;

3) обстоятельства, характеризующие личность обвиняемого;

4) характер и размер вреда, причиненного преступлением;

5) обстоятельства, исключающие преступность и наказуемость деяния;

6) обстоятельства, смягчающие и отягчающие наказание;

7) обстоятельства, которые могут повлечь за собой освобождение от уголовной ответственности и наказания;

8) обстоятельства, подтверждающие, что имущество, подлежащее конфискации в соответствии со статьей 104.1 Уголовного кодекса Российской Федерации, получено в результате совершения преступления или является доходами от этого имущества либо использовалось или предназначалось для использования в качестве орудия, оборудования или иного средства совершения преступления либо для финансирования терроризма, экстремистской деятельности (экстремизма), организованной группы, незаконного вооруженного формирования, преступного сообщества (преступной организации).

2. Подлежат выявлению также обстоятельства, способствовавшие совершению преступления.

Про доказывание

Статья 74. Доказательства

1. Доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель в порядке, определенном настоящим Кодексом, устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение для уголовного дела.

2. В качестве доказательств допускаются:

1) показания подозреваемого, обвиняемого;

2) показания потерпевшего, свидетеля;

3) заключение и показания эксперта;

3.1) заключение и показания специалиста;

4) вещественные доказательства;

5) протоколы следственных и судебных действий;

6) иные документы.

Статья 17. Свобода оценки доказательств

1. Судья, присяжные заседатели, а также прокурор, следователь, дознаватель оценивают доказательства по своему внутреннему убеждению, основанному на совокупности имеющихся в уголовном деле доказательств, руководствуясь при этом законом и совестью.

2. Никакие доказательства не имеют заранее установленной силы.

Про доказательства

Основные проблемы преследования по УК РФ:

• Долго

• Трудозатратно (дорого и не просто)

Поэтому многие стараются ориентироваться на ТК…

Компания: Крупная государственная организация

Вид тайны: Служебная тайна

Инцидент: Работник получил несанкционированный доступа к документам (были административные права доступа к ИС «Делопроизводство») и передал на внешнюю электронную почту конфиденциальную информацию (в частности, стенограммы оперативного совещания руководства) заинтересованным третьим лицам (своему бывшему руководителю, а сейчас ген.директору ИТ компании, которая была подрядчиком, но сейчас с ней уже 3 года ведется судебная тяжба).

Компания: Крупная коммерческая организация (коллектор)

Вид тайны: Коммерческая тайна, ПДн сотрудников и клиентов

Инцидент: Работник, не получив ожидаемого повышения зарплаты, обиделся и скопировал себе на флешку все документы, к которым смог получить доступ (KPI сотрудников, планы и стратегия, БД клиентов и пр.). В дальнейшем попытался шантажировать руководство, предлагая эту флешку выкупить.

Кейсы про судебную практику (ТК)

Правильное увольнение за

разглашение

№ Этап Документ

1. Обнаружение инцидента, сбор дополнительной информации

Краткий отчет об инциденте, Служебная записка

2. Обсуждение возможных вариантов реагирования с HR, юристами и руководством

Приказ о проведении служебного расследования (+ создание Комиссии)

3. Запрос объяснительной записки от работника (желательно под роспись)

Объяснительная записка / Акт об отказе

4. Заседание Комиссии (хорошей практикой является заседание 2х комиссий: по расследованию и по кадровым вопросам)

Протокол(-ы) заседания комиссии (краткое описание инцидента, оценка тяжести проступка, обстоятельства дела, величина ущерба, решение)

5. Принятие решения об увольнении, издание соответствующего приказа

Приказ о применении дисциплинарного взыскания / Акт об отказе ознакомления

Документы для подготовки к Суду (полезный перечень)

Общее • Трудовой договор • Правила внутреннего трудового распорядка • Должностная инструкция работника • Положение о подразделении работника • Доп.соглашения с работником (ПДн, КТ и пр.) • Характеристика на работника (при наличии

"полезных" фактов в биографии) Об инциденте • Отчет об инциденте и/или Служебная записка об

инциденте. Желательно вести хронологию инцидента

• Выгрузка отчета из DLP • Справка о DLP системе (функционал и сертификаты) Комплект документов по увольнению • Приказ о назначении комиссии по расследованию

инцидента • Объяснительная работника • Протоколы заседаний комиссии • Приказ об увольнении Судебные документы • Исковое заявления • Возражения ответчика • Перечень документов для Суда

Про ИБ • Перечень информации ограниченного доступа • Положения об обработке информации

ограниченного доступа (ПДн, КТ и пр.) • Перечень лиц, допущенных к обработке • Модель угроз и Модель нарушителя • Техническое задание на систему защиты (особенно

если прописан функционал DLP) • Положение о подразделении ИБ • Должностные инструкции сотрудников ИБ • Прочие документы, регламентирующие ИБ в

компании • про работу с эл.почтой и сетью Интернет • про использование съемных носителей • про парольную защиту • про контроль доступа • про реагирование на инциденты • ...

• Документы, регламентирующие использование DLP (при наличии)

Прочее • Аттестаты соответствия ИС • Отчеты об аудитах/проверках ИБ • Отчеты об обучении/инструктаже сотрудников

1. Наличие перечня информации ограниченного доступа и правил по работе с такой информацией

2. Запрет передачи информации ограниченного доступа по определенным каналам при определенных условиях

3. Запрет на хранение на корпоративных устройствах «личной информации»

4. Запрет передачи по корпоративным каналам «личной информации»

5. Уведомление об использовании средств мониторинга / наличии возможности мониторинга / использование автоматизированного контроля выполнения требований

6. Разграничение и контроль доступа 7. Запрет передачи своих паролей другим лицам 8. Запрет на предоставление своей учетной записи другим лицам 9. Политика «чистых столов и экранов»

Положения важные для DLP

Пропишите эти положения в своих документах!!!

1. Перечень информации ограниченного доступа

2. Политика в отношении обработки ПДн 3. Положение об обработке ПДн 4. Положение о защите ПДн

5. Положение о коммерческой тайне

6. Политика допустимого использования (или аналоги)

7. Положение о парольной защите 8. Положение об антивирусной защите 9. Процедура управления доступом

10.Должностные инструкции… 11.Соглашение с сотрудником / Трудовой договор 12.Правила внутреннего трудового распорядка

Типовой набор документов (min)

Ознакомьте работников с документами под роспись + расшифровка

подписи!!!

Требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации:

– корпоративная электронная почта

– сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту, соц.сети, блоги и пр.)

– внешние носители

– корпоративные рабочие станции

– корпоративные мобильные устройства

– персональные мобильные устройства

– сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи)

– удаленный доступ к корпоративной сети

– копировально-множительная техника

– файловые хранилища

Что писать в Политике

допустимого использования?

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22

Андрей Прозоров, CISM Моя почта: Andrey.Prozorov@infowatch.com

Мой твиттер: twitter.com/3dwave

Мой блог: 80na20.blogspot.com