CC BY
51
14 декабря 2011 г. 23:40
«
Правовые аспекты внедрения систем предотвращения утечек конфиденциальной информации
Утвчка конфиденциальной информации может стать причюой финансовых и репутационных потерь, которые в свою очередь могут стать серьезной угрозой для бизнеса.
Кроме этого актуальность проблемы внутре»«их угроз подтверждается результатами многих исследований. Чаще всего оргонизацж пытаются решить эту проблему путем мониторинга и контроля потоков данных. При этом воз**#савт вопрос о правомерности таких мврофия-т>«4 с точки прав на неприкосновенность частой жизни работников.
Евгения Заяц,
старший консультант отдела консалттга ЗАО "ДиалогНаука"
Права на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия гарантированы ст. 23, 24 Конституции Российской Федера ции и подкреплены Уголовным кодексом (ст. 137, 138).
В свою очередь правоотношения между работником и работодателем — трудовые отношения, которые регулируются Трудовым кодексом
Обязательной составляющей трудовых отношений (ст. 15 ТК РФ) является выполнение работником за плату трудовой функции, подчинение работника правилам внутреннего трудового рос порядка, при обеспечении работодателем условий труда.
Правила внутреннего трудового распорядка (ст. 189 ТК РФ) локальный нормативный акт, регламентирующий порядок приема и увольнения работников, основные права, обязанности и ответственность сторон трудового договора, режим работы,
время отдыха, применяемые к работникам меры поощрения и взыскания, а также иные вопросы регулирования трудовых отношений у данного работодателя
Работник обязан добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором: соблюдать правила внутреннего трудового распорядка; бережно относиться к имуществу работодателя (ст. 21 ТК РФ).
Работодатель имеет право требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя соблюдения правил внутреннего трудового распорядка (ст. 22
ТК РФ).
11ри этом все ресурсы принадлежат работодателю, а право пользования ими у работника возникает лишь в силу прямого согласия работодателя в рамках исполнения работником трудовых функций,
В свою очередь работодатель, как обладатель информации, составляющей коммерческую тайну, или иную конфиденциальную информацию, имеет право принимать меры по охране конфиденциальности информации.
Кроме того, использование работником ресурсов работодателя для целей, не связанных с исполнением трудовых обязанностей, является противоречащим существу трудовых правоотношений и противоречит такой обязанности работника как добросовестное исполнение возложенных на него трудовых обязанностей.
Нарушение неприкосновенности частной жизни, связанное с нарушением тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений квалифицируется ст. 137 и ст. 138 УК РФ.
Нарушение неприкосновенности постной жизни, предусмотренное ст. 137 УК РФ, может выражаться:
— в незаконном собирании сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия;
— в незаконном их распространении в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
Ст. 138 УК РФ предполагает уголовное наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан.
Понятие таты связи, порядок контроля почтовых отправлений, телеграфных и иных сообщений снятия информации с технических каналов связи и другие вопросы определены федеральным законодательством (в частности. ст. 63 ФЗ N426 "О связи", ст. 15 ФЗ N*176 "О почтовой связи", ФЗ №144 "Об оперативно-розыскной д еятельности").
ФЗ "О связи" обязывает обеспечить тайну связи оператора связи. Оператором связи является юридическое лицо или индиви дуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии (ст. 2 ФЗ № 126 "О связи").
Закон регулирует отношения, связанные с созданием и эксплуатацией всех сетей связи и сооружений связи, использованием радиочастотного спектра, оказанием услуг электросвязи и почтовой связи на территории РФ (ст. 3 ФЗ № 126 "О связи"), т.е. ориентирован на операторов связи, осуществляющих свою деятельность на основе специальной лицензии. Следовательно, действие закона не распространяется на работодателя (не является оператором связи) в части фильтрации почты своих сотрудников
12
Т-Сотт, Информационная безопасность 2011
Неподшитые заметки Стр .1
БЕЗОПАСНОСТЬ
(не являются абонентами).
Действие ФЗ "О почтовой связи" также не распространяется на работодателя, так как работодатель не осуществляет деятельность в области почтовой связи, не является оператором и организацией почтовой связи.
Закон определяет тату связи, как тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу дея тельности операторов почтовой связи, не подлежащая разглашению без согласия пользователя услуг почтовой связи (ст. 2 ФЗ № 176 "О почтовой связи").
Таким образом, чтобы избежать юридической ответственности и не нарушить личные права работников, внедрение технических мер защиты от утечки конфиденциальной информации работодатель должен
сопровод ить рядом организационных мер:
1. Установить режим конфиденциальности и ознакомить с ним работника в соответствии с законодательством РФ.
2. Внести в правила внутреннего трудового распорядка и трудовые договора запрет на использование ресурсов работодателя в личных целях, а также условия соблюдения работниками установленного работодателем режима конфиденциальности информации.
3. Ознакомить работника с внутренними нормативными документами работодателя, регламентирующими вопросы обеспечения информационной безопасности, включая положения о том, что работодатель в целях соблюдения установленного режима конфиденциальности информации имеет право внедрять специализированное про-
граммное и аппаратное обеспечение для контроля и мониторинга действий работника с целью обеспечения исполнения работником возложенных на него трудовых обязанностей и обеспечения безопасности конфиденциальной информации работодателя.
4. Заключить со всеми работниками соглашение о конфиденциальность и о перлюстрации информации.
5. Установить внутренними нормативными документами порядок осуществления мониторкига, доступа к полученной информации, назначить ответственных и тд.
Реализация указанных выше мер позволит осуществлять комплексную защиту от утечки конфиденциальной информации с учетом требований действующего законодательства.
Итоги и результаты I Всероссийского Конгресса СЮ и V Съезда СоДИТ
27-28 мсв в Мосхве состоялись ПереьЛ Всероссийск»* Конгресс QO и V съезд СоДИТ, орт**<з<»а>*»»е Союзом Д^эекторсе ИТ Рос он (СоДИТ) и Фондом раэ»т« И (СТ. Техническую и оргонизацюнную поддержку конгрессу сказало МГИМО МИД РФ В кснферек**н принялоучостие 240 человек из 4 стран: Росой Казахстана, Укропы и США. Мероприятие транслировалось в Интернете, а также по к си any РБК ТВ. Особенность конгресса — максимально дискуссионный формат, более чем на половине секций разгорелись серьезные и заинтересованные споры по актуальнім проблемам раза^тия ИТвРосо**
Ноиболее яркие темы и дескусо*н Конгресса
1. Основав проблемы и вызовы с точки зрения наиболее авторитетных QO России Своим видением поделились Дмитрий Наз^ггав (ВТБ), Марию Аншина [Сибур-Руоские шины), Сергей Енюп*н (Райффайзен), Мария Вожегсео (Росгост-рах), Галина Алова (Гражданские самолеты Сухого), Дмитрий Инихков (PwC], Андрей Дробот (Microsoft), Константу* Бакулев (Комитет по ИТ и свази Госудср-ственной Думы), Валерий Борсэоже (председатель Консультационного Совета СОДИТ). По резугысттам дискуссий определились топ 7 наиболее важных проблем российских ИТ
• некоторый cnqo эначимости ИТ в бизнесе компании и интереса к ИТ со стороны топ-менеджмента;
• проблема нехватки ИТ-карров и обострение кадрового голода в будущем, проблема качества образовании в облости ИТ;
• проблема ИТ-грамотности сотрудников камланні, повыиения уровт ис-пользоеонш ИТ-актем в деятели ости компаний,
• острая нехватка стоідартов и нсрматувов в облости ИТ, большие пробелы в законодательном базе, савзо^ной с ИТ;
• импортозависимость российского ИТ-рьнка и необходимость создай* рос-сийкжсго ПО в определенны* нишах,
• проникновение технологий из потребительского сектора, включав социальные сети, Tw*er и тд, в корпсратувную среду компаний,
• мобильный доступ, работа в любой точсе миро как кз офиса
Отдельно отметим доклады ‘Что нос ждет завтра соглосно исследование Global СЮ Sfcjcfy" (Майкл Вирт, IBM) и "Облачные и зеленые технологии, интеграций сервисов и GRID технологии" (Ю.Семенов, МФТИ/ГНЦ ИТЭФ).
2. Каким должен быть стандарт оцеши постави**ов ИТ-услуг? Проект создания стандарта оценки поставщиков ИТ-услуг запущен Ка**«тетам по ИТ-стандар-то* СОДИТ Однасо, кским должен быть этот стандарт, как си должен быть создан и с чего необхс**мо начать его создание? Но эго есть две разлимліе точсизрент
• стандарт оценки постави**се будет представлять собсй систему стандартов и должен создаваться поэтапно и начинать надо с оценки рисков привлечения поставника,
• стандартизация осной облости будет востребована мало, необходимо сразу создать сбалансированный стсндарт, который оценивает, как минимум ценность и риски
3. В чем секрет Силиконовой Долины и возможно ли создсхие аналога в Рос* о*і или это только амбиц^? Дсжлад на эту тему сделал Андрей Кунсе, президент Америконасой Бизнес Ассоциаі*іи русскоязычных профессионалов (АмБАР, с которой встречался Д. Медведев в Кремниевой долине). В деосуссии пришли участие представители фонда "Сколково’*
4. Эмпирические исследования влилния инвестиций в ИТ но экономику колонии За последние годы силами исследователей Слоаноеской шкоты менеджмента МТ1 получек важнейшие резутътаты в облости влияния **нвестщий в ИТ на экономису компажи. В частности, на базе исследования результатов работы компаний США найден доказательства влития инвесту**** в ИТ на капитализацию и выпуск компаний, а теж же нсиболее обшив условии результативности инвестиций в ИТ. Но можно ли их переносил» на российские компсн»*і? Именно это цепь проекта (РААшъ, первые результаты которого смень активно обсуждались Кроме того, обсуждалось новое Исследование ИТ -архитектур российских комло-мий, которое запущено Комитетом по исследсвсхиям СсДИТ.
5 Правила поведения в киберконфгыктах примежмость Женевских и Гоагских конвенций в современном информационном пространстве. Доклад на эту тему делал Андрей Коротков, член правления СОДИТ, профессор МГИМО МИД РФ.
Одно из наиболее важных достижений инроксго сообщества государств, достигнутое полтора столетия назад—созд ание Конвенц ий, защицоюдкх достежн-ство и уважение к человеческой жиз»*« Кибврбезопосность быстро становится опорой нашей взаимной сохранности, стабильности и безопасности. И вместе с тем, оче*і заметно отсутствие “правил дорожного деиженш", или хоть каких-то норм поведения в условиях киберконфлиста
6 Информатизации и информационная безопасность: д ве стороны со«ой медали Ключевой доклад на эту тему д елал Михаил Сенаторе», ИТ-даректор Центрального Бонка России На конгрессе активно обсуждались вопросы законодательства и правоприменительной практики в области киберпреступлений Непосредственно к конгрессу Комитет по информационной безопасности СОДИТ вместе с "Ассоциацией руководителей служб информационной безопасности’ (АРСИБ) при участуй компаний ІІГГА и Огоир-1В выпустили брошюру "1Лн инденты ИБ Рекомендации по реап^хжаьию"
T-Comm, Информационная безопасность 2011
13
Неподшитые заметки Стр .2
