DLP. Спрятать или показать?

Аватар пользователя ryndin
Автор: Рындин Владимир,
(6)
()
Опубликовано в:
Недавно на BIS-Expert'e своими размышлениями по поводу бюджетов в ИБ поделился УЦ "Информзащита". И в этих размышлениях есть пункт, с которым я несогласен. И касается это использования систем DLP-систем в организации, предлагается держать это в секрете. И одним из аргументов является то, что если сотрудник будет знать, что в организации есть DLP-система, он будет искать пути обхода. Моя позиция относительно использования DLP-систем в организации , а именно в их сокрытии от сотрудников, обратна. И на этот счет у есть несколько аргументов:
 
 
1. Если мы скрываем то, что применяем DLP-систему для контроля утечек, то организация должна понимать, что есть высокая вероятность нарушения конституционных прав человека (а сотрудники у нас в первую очередь люди), предоставленных им 23 статьей. Ведь контролируя свою информацию, мы можем наткнуться и на личную информацию сотрудника, на его переписку. И здесь недостаточно закрытия внешних почтовых ресурсов. Сотрудник может вести личную переписку со служебной почты, даже если это запрещено внутренними положениями. Сотрудник нарушает внутреннее положение организации, возможно. Да, мы можем его депримировать или уволить. Но организация нарушает его конституционные права, и он может подать в суд. На мой взгляд, несоизмеримо. Для этих целей нужно предупредить сотрудника о том, что его личная информация может стать доступна лицам, указать, при каких условиях и взять на это его согласие. Главное здесь, не перегнуть палку и сказать, что организация это делает только в рамках защиты своей КТ и ни в коем случае ни в целях слежения за сотрудниками. И здесь сразу несколько profit'ов:
 
  • Мы действуем в рамках закона.
  • У сотрудника не будет лишнего желания поделиться интимными подробностями пятничного вечера с товарищем "снаружи" с рабочего места.
  • Сотрудник понимает, что к нему относятся с уважением и лояльность его относительно компании может возрастать.

2. Открытость внедрения DLP-систем является драйвером для службы ИБ для более тщательной и грамотной ее настройки. Теперь сотрудник знает, что такая система есть и может предпринимать шаги к ее обходу. И, следовательно, службе ИБ нужно более грамотно настроить DLP-систему. А чем грамотнее она будет настроена, тем лучше для организации.
 
3. Даже само название Data Loss(Leak) Prevention говорит о том, что основной задачей таких систем является предотвращение утечек. А немалая часть таких утечек совершается по банальной ошибке. Не даром во многих DLP-системах во всплывающих окнах при отправке документа, попадающего под политику ограничения, есть пункт "Я не знал, что это коммерческая тайна". Какие выводы можно сделать из этого?
 
  • Если сотрудник и правда не знал, он это укажет (результаты ответов падают АИБу и за сотрудником можно присмотреть более пристально, а вдруг и правда инсайдер). Если сотрудник знал, но попытался, он будет осторожней (опять таки, за ним можно присмотреть). Но в любом случае мы предотвратили утечку. Система достойно справилась со своей основной задачей.
  • В обратном случае если сотрудник отправит документ и такого окошка у него не будет, то вслучае, если сотрудник не инсайдер лояльность отношения к компании у него может упасть, так как может появиться ощущение "тотальной слежки". А организации это надо? И тем более, после нескольких инцидентов вся тайна о существовании DLP-системы в организации перестанет быть тайной, так как сарафанное радио никто не отменял. И здесь можно добавить еще и принцип испорченного телефона, когда из обыной DLP-системы и порядочного АИБа мы получим СОРМ и злого КГБшника (простите, если кого обидел).

Итак, вывод прост. Использование DLP-системы не должно быть секретом для сотрудников. Ну, разве что на этапе тестирования и внедрения, чтобы готовящийся совершить злодеяние инсайдер не ускорился.
 
Оцените материал:
Total votes: 355
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя GeorgeG

По поводу 23 статьи - даже если мы скажем про DLP и даже заставим его расписаться под каким-нибудь "Компания вправе...", но после этого прочитаем его личное письмо, то все равно нарушим - знал он или нет неважно, в силу ст.17 основного закона. А вот свое новое знание он может теперь использовать для атаки и даже шантажа работодателя.  Из опыта - в одной конторе для ухода от таких правовых рисков предложили личные письма метить как таковые. Догадываетесь? Все самое интересное полетело вон из компании в почтовом трафике с темой "ЛИЧНОЕ!". По пункту 2 частично согласен, только непонятно, зачем службе ИБ изначально применять к работникам презумпцию виновности? Может начать с обучения, чем сразу за руки хватать? Можно вообще использовать несуществующую DLP в качестве жупела, чистая оргмера.
В качестве резюме - все компании очень разные, с разными моделями управления, разной информацией и различным авторитетом служб ИБ и т.д. Единственно правильного ответа, открывать или нет, здесь быть не может. Использование DLP в любом случае несет и риски и выгоды.

up
4 users have voted.
Аватар пользователя ryndin

Георгий, спасибо за комментарий.
По поводу 23 статьи. Я не говорю писать документ "Компания в праве..." При написании такого документи и ведении наблюдения это будет нарушения. Я обратного и не утверждаю. . Документ - это согласие каждого сотрудника, дающее право организации читать его переписку в рабочее время. И согласие должно учитывать условия: рабочее время, техника работодателя и прочее.
Скажите, пожалуйста, вы читали ст. 24 Конституции? Вот она и разрешает нам собирать, хранить и использовать информацию, но только с согласия. Да, это указано там не явно (сказано, что мы не имеем согласия, то и не можем), но если мы имеем согласие от сотрудника смотреть информацию о его личной жизни, то смотрим. Логично?
Исходя из Ваших рассуждений, то использование DLP вообще незаконно и держится на том, что пока еще не было обращений в суды. Однако, даже ФСТЭК в своих последних разъяснениях по поводу окончания поддержки WindowsXP рекомендует использование таких систем.

up
12 users have voted.
Аватар пользователя GeorgeG

Владимир, давайте все-таки разделять тайну переписки и неприкосновенность частной жизни. Одно может содержать другое, но не всегда и не со 100%м покрытием. Обладателем любой информации, отправленной мной в рабочем письме, созданной не в соответствии с должностными обязанностями (или заданием работодателя) являюсь я, при этом она может совершенно не иметь отношения к моей часной жизни, и ст.24 тут неприменима. А вот читать письмо все равно нельзя на основании ст23.
Мне кажется, Вы не совсем верно поняли содержание ст.24. Она говорит не о согласии на прекращение права субъекта, а лишь о его возможности дать вам право на ознакомление с конкретной информацией. За требование подписать согласие на право чтение переписки (кстати, и время и оборудование здесь совершенное неважно - только в рамкакх ДИ или нет) к любой организации может прибежать Трудовая инспекция и расписать ее под Хохлому.
Насчет незконности DLP - а Вы, простите, не знали?! DLP (железки и софт) субъектом права не является, сама DLP никаких законов не нарушает и продается свободно. Дураков же прийти в суд и сказать, что "мы выявили инцидент путем автоматизированного (с участием человека) анализа содержимого его письма" естественно, нет, т.к. УК138.2 никто не отменял. На практике просто берут "на пушку" - мы все знаем, пишите объяснения. После эти объясниея вместе с логами DLP и свидетельствами причастных (начальник, админ) ложатся на стол судьи. По-другому никак, право перлюстрации не дано никому (кроме как...ну Вы знаете:)

up
6 users have voted.
Аватар пользователя ryndin

Да, естественно DLP не читает переписку, это само собой. Читает ее человек, работающий с ней. Разговор касательно 138 статьи - это вообще отдельная история. И необходимо понимать, что не одним согласием сотрудника весь этот процесс регламентируется и узаконивается. По поводу "мы все знаем" - аргумент для меня недостаточный. А логи DLP - откуда? Как мы выявили, что было в письме? Не подставляет ли этим работодатель сам себя? А объяснение, сотрудник может его и не писать.=)

Основная мысль такого документа в том, что организация явно указывает, что ей не интересна личная информация сотрудника, но она может попасть в DLP. Так что дайте, пожалуйста, согласие, или мы не сможем принять вас на работу (а здесь причины могут быть разные). И увольть сотрудника можно тоже разными способами. Но если мы наблюдаем и говорим об этом, рассказываем, то это уже не тайно, а просто для сохранения конфиденциальности.

up
12 users have voted.
Аватар пользователя e.v.rodygin

Я бы исходил из того, что скрыть применение DLP весьма проблематично...

up
9 users have voted.
Аватар пользователя e.v.rodygin

Еще вот так: Компания заботится о своей репутации, поэтому вся рабочая переписка - будет проходить лингвистический контроль правил русского языка у корректора. После отработки корректором письма будут отправлены адресатам...

up
6 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.