1.
Мастер‐класс: DLP при увольнении
сотрудников в компании
ПРОЗОРОВ АНДРЕЙ, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Группа в ВК: vk.com/isms8020
12018-04-24

2.
DLP и реагирование на инциденты
2
1.Обнаружение и регистрация событий системой
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент (и управленческое решение)
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на
инцидент
2018-04-24

3.
Зачем нужна «легализация» DLP?
3
Позволит преследовать нарушителей
«по закону» (ТК РФ, УК РФ) и использовать
отчеты DLP в Суде
2018-04-24

4.
4
Использование DLP – это баланс прав работника и
работодателя…
2018-04-24

5.
5
Для Работника Для Работодателя
• Конституция РФ Статья 23
1. Каждый имеет право на неприкосновенность частной жизни,
личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений.
Ограничение этого права допускается только на основании судебного
решения.
• Конституция РФ Статья 24
1. Сбор, хранение, использование и распространение информации о
частной жизни лица без его согласия не допускаются.
• УК РФ Статья 137. Нарушение неприкосновенности
частной жизни
• УК РФ Статья 138. Нарушение тайны переписки,
телефонных переговоров, почтовых, телеграфных или
иных сообщений
• ТК РФ Статья 21. Основные права и обязанности
работника
• ТК РФ Статья 392. Сроки обращения в суд за
разрешением индивидуального трудового спора
• Конвенция о защите прав человека и основных
свобод (Россия ратифицировала ее в 1998)
• General Data Protection Regulation (GDPR)
• 149-ФЗ Статья 6. Обладатель информации (права)
• 98-ФЗ Статья 6.1. Права обладателя информации,
составляющей коммерческую тайну
• УК РФ Статья 183. Незаконные получение и
разглашение сведений, составляющих
коммерческую, налоговую или банковскую тайну
• УК РФ Глава 28 Преступления в сфере компьютерной
информации (ст.272-274.1)
• УК РФ Статья 159.6. Мошенничество в сфере
компьютерной информации
• ТК РФ Статья 22. Основные права и обязанности
работодателя
• ТК РФ Статья 81. Расторжение трудового договора по
инициативе работодателя
6) однократного грубого нарушения работником трудовых
обязанностей:
в) разглашения охраняемой законом тайны (государственной,
коммерческой, служебной и иной), ставшей известной работнику в
связи с исполнением им трудовых обязанностей, в том числе
разглашения персональных данных другого работника;
• ТК РФ Статья 192. Дисциплинарные взыскания
2018-04-24

6.
6
Наказание по ТК РФ Наказание по УК РФ
Мотив работодателя Хотим наказать быстро и просто,
нужен прецедент
Хотим сильно наказать (большой
ущерб), нужен громкий прецедент
Основание ТК РФ ст.81 УК РФ ст.183, 185.5, ст.159, 163
ст.272-274
Возмещение ущерба Обычно нет По решению суда, но надо доказать
величину ущерба
Трудозатраты Низкие Средние
Общая длительность До 1 месяца Может быть несколько лет
Процедура Простая, по ТК РФ Сложная, по УПК РФ
Взаимодействие с
правоохранительными органами
Нет МВД России / ФСБ России
Сложность сбора доказательной
базы
Низкая, решение принимает
внутренняя комиссия
Высокая, необходимо соблюсти все
формальные процедуры
2018-04-24

7.
Практика уголовных дел
7
Да-да-да, уголовных дел очень мало…
2018-04-24

8.
8
Кейсы, свежие кейсы…
2018-04-24

9.
9
Утечка: Попытка выноса документа (конструкторская
документация, КТ) на твердом носителе за территорию
Позиция истца:
• Документ не КТ (нет грифа) и свободно хранится на полках
• С положение о КТ не ознакомлен
• Выносил документ для работы, разглашения не было
Итог: Победа работника (увольнение признано незаконным)
Выводы:
• Факт выноса документов не может расцениваться как
разглашение
• Отсутствие грифа КТ создает вопросы к режиму КТ, но не
критично
• …
2018-04-24

10.
10
Утечка: Многократное копирование с файловых серверов
большого числа файлов (ПДн) и их запись на внешний носитель
Позиция истца:
• Объяснительную не запросили
• Не ознакомили с актом служебного расследования
Итог: Победа работника (увольнение признано незаконным)
Выводы:
• Запись на внешние носители – разглашение
(но надо обосновывать, см. далее)
• Если вы усложняете процедуру, то есть большая вероятность
ошибки
• Отсутствие запроса объяснительной – грубая ошибка при
увольнении
• …
2018-04-24

11.
11
Из материалов дела:
«Копирование истцом на внешние (личные) носители не принадлежащей ей информации, содержащей ПДн
работников, создает условия для ее дальнейшего неконтролируемого распространения.
Фактически, совершив такие действия, истец получила возможность распространения данной
информации, при этом, не получив соответствующего права на основании закона или договора, а
работодатель, являющийся оператором данной информации, допустивший к ней истца без намерения
предоставить ему возможность распространения данной информации, уже не может в полной мере
определять условия и порядок доступа к ней в дальнейшем, т.е. осуществлять прерогативы обладателя
информации.»
2018-04-24

12.
Еще интересные каналы утечки
12
Утечка: Фотография
из больничной
палаты (ПДн и
врачебная тайна)
опубликована в
социальной сети
ВКонтакте
Итог: Победа
работодателя
Утечка: Поддельные
2-НДФЛ с реальными
ПДн были записаны на
несколько компьютеров
(для ознакомления их
пользователями)
Итог: Победа
работодателя
2018-04-24

13.
Отчеты DLP для доказательства в суде
• Дозор-Джет:
Дело №33-90/11, Садыков Т.Ф. против ЗАО
• StaffCop
Дело №2-240/2012, Поготовенко Н.Г. против ООО «Шушенская марка»
• Дозор-Джет и Контур безопасности:
Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)
• InfoWatch:
Дело №2-11976/2014 ~ М-10846/2014, ФИО1 против Фонда социального страхования
• McAfee
Дело 2-845/2014 (2-8415/2013), ФИО1 против АКБ «Российский капитал»
• InfoWatch:
Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО «Национальная служба
взыскания»
• SearchInform:
Дело №33-33/2018. Машуков С.Г. Против АО «РУСАЛ Саяногорск»
13
NEW
2018-04-24

14.
14
Утечка: Передача двух файлов в с зарплатами сотрудников (ПДн)
на внешнюю электронную почту
Позиция истца:
• Письмо с документами отправлял не он (его подставили)
• Работодатель незаконно перехватывал сообщения электронной
почты и тем самым нарушил права работника
• С положение о КТ не ознакомлен, а его подпись
сфальсифицировали
Итог: Победа работодателя (увольнение признано правомерным)
Выводы:
• DLP применяется для доказательства утечки, а доказательства
принимаются судом
• При доказательстве причастности к утечке следует ссылаться на
использование уникальных учетных записей
• У работодателя есть права на чтение переписки…
2018-04-24

15.
Общие ощущения (субъективно)
1. Мало уголовных дел, но очень много трудовых споров. Примеры судебных решений легко найти.
2. Работодатель обычно выигрывает (~70%)
3. Ссылки на нарушение права на тайну переписки, личную и семейную тайну обычно не
состоятельны…
4. Моральный ущерб обычно не платят, или он минимальный (например, 500 рублей)
5. Основные ошибки работодателя:
◦ Отсутствие режима защиты информации (особенно КТ)
◦ Нарушение процедуры увольнения (сроки и объяснительная)
◦ Отсутствие факта разглашения (утечка информации через съемные носители информации или твердые
копии)
152018-04-24

16.
Чем интересно дело Бэрбулеску?
16
1. Отличный кейс про мониторинг и чтение личной переписки
(логика баланса интересов)
2. Это позиция ЕСПЧ, часто угрожают именно этим судом
3. Подробно рассмотрены подходы европейского
законодательства, полезно будет для GDPR
4. Даются важные рекомендации по легализации мониторинга
5. Просто интересный кейс. Суть: сотрудника уволили за личную
переписку в корпоративном мессенджере Yahoo
2018-04-24

17.
17
121. Европейский Суд осознает происходящие быстрые изменения в этой области. Вместе с тем он считает, что пропорциональность
и процессуальные гарантии против произвола являются существенными. В этом контексте внутригосударственные власти должны рассматривать как
относящиеся к делу следующие факторы:
(i) был ли сотрудник уведомлен о вероятности того, что работодатель может принять меры для контроля корреспонденции и других средств
общения, а также об осуществлении таких мер. Хотя на практике работников можно уведомлять различными способами, в зависимости от
фактических обстоятельств каждого дела Европейский Суд считает, чтобы меры соответствовали требованиям статьи 8 Конвенции, в уведомлении
обычно должен ясно быть указан характер контроля, а само уведомление направлено заранее;
(ii) степень контроля со стороны работодателя и степень вмешательства в личное пространство работника. В этом отношении следует проводить
различие между контролем за характером переписки и ее содержанием. Также необходимо учитывать, контролируются ли все сообщения или только
часть из них, а также вопрос о том, ограничен ли контроль по времени и ограничено ли количество лиц, которое может изучать его результаты (см.
упоминавшееся выше Решение Европейского Суда по делу "Кёпке против Германии"). То же самое применимо и к объему контролируемой
информации;
(iii) указал ли работодатель законные причины для оправдания контроля за сообщениями и оценки их содержания (см. §§ 38, 43 и 45 настоящего
Постановления для обзора международного и европейского законодательства в этой области). Поскольку контроль содержания переписки по своей
природе носит более агрессивный характер, его применение требует более серьезных оправданий;
(iv) будет ли возможно установить систему контроля, основанную на менее агрессивных методах и мерах проникновения в личную жизнь
человека, чем прямой просмотр содержания переписки работника. В связи с этим в свете определенных обстоятельств каждого дела должна
проводиться оценка того, могла ли поставленная работодателем цель быть достигнута без прямой оценки полной переписки переговоров работника;
(v) последствия контроля для работника, в отношении которого он осуществляется (см., mutatis mutandis, аналогичные критерии, примененные при
оценке пропорциональности вмешательства в осуществление свободы выражения мнения, защищаемой статьей 10 Конвенции, в Постановлении
Большой Палаты Европейского Суда по делу "Компания "Аксель Шпрингер" против Германии" (Axel Springer AG v. Germany) от 7 февраля 2012 г.,
жалоба N 39954/08, § 95, с дальнейшими ссылками), и использование работодателем результатов контроля, в частности, были ли эти результаты
использованы для достижения заявленной цели примененной меры (см. упоминавшееся выше Решение Европейского Суда по делу "Кёпке против
Германии");
(vi) были ли работнику обеспечены надлежащие гарантии, особенно если контроль со стороны работодателя характеризовался мерами
вмешательства в личную сферу. Данные гарантии должны особенно обеспечивать то, что работодатель не сможет ознакомиться с содержанием
рассматриваемых сообщений, если только работник не был заранее уведомлен о такой возможности.
В рассматриваемом контексте стоит повторить следующее: чтобы трудовые отношения были плодотворными, они должны основываться на
взаимном доверии.
2018-04-24

18.
«Юридическая воронка» DLP
18
Судебное решение
До инцидента
Инцидент
Суд*
* - если до этого дойдет
• 3 уровня правильных мер и процедур,
влияющих на судебное решение
• Если есть ошибки и недоработки на
верхних уровнях, то до нижних можно и не
дойти (или результат вам не понравится)
2018-04-24

19.
2017-09-12 19

20.
10 Правил и 10 Рекомендаций
20
1. Документируйте перечень ИОД и лиц, допущенных к
обработке
2. Документируйте правила обработки ИОД
3. Запретите разглашать ИОД
4. Установите режим защиты ИОД (особенно КТ)
5. Запретите хранить личную информацию на ресурсах
компании и использовать их в личных целях
6. Уведомите о мониторинге до предоставления
доступа
7. Понимайте, что утечка – не всегда разглашение
8. Не заигрывайтесь с DLP. Нельзя использовать
«сомнительные» доказательства
9. Не торопитесь с управленческими решениями, но
следите за сроками
10. Будьте логичны и последовательны
1. Взаимодействуйте с HR, юристами, ИТ и линейными
руководителями
2. Понимайте порядок наложения дисциплинарных
взысканий (по ТК РФ) и процедуру увольнения
3. Ведите хронологию инцидентов
4. Используйте принцип «неотвратимости наказания»,
принимайте осознанные управленческие решения
5. Ознакамливайте сотрудников с требованиями ИБ и
обучайте их
6. Изучайте судебную практику
7. Знайте стратегию аргументации «легальности» DLP
8. Готовьте максимум документов для Суда (если до
этого дойдет)
9. Напишите хорошее положение о подразделении ИБ
и должностные инструкции
10. Знайте свои сильные и слабые стороны
2018-04-24

21.
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Группа в ВК: vk.com/isms8020
2018-04-24 21
Спасибо за внимание!