SlideShare a Scribd company logo

пр DLP при увольнении сотрудников (Прозоров)

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Моя презентация про юридические аспекты использования DLP с конференции CISO Forum 2018

Law
1 of 21
Download to read offline
Мастер‐класс: DLP при увольнении сотрудников в компании ПРОЗОРОВ АНДРЕЙ, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020 12018-04-24
DLP и реагирование на инциденты 2 1.Обнаружение и регистрация событий системой 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент (и управленческое решение) 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент 2018-04-24
Зачем нужна «легализация» DLP? 3 Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) и использовать отчеты DLP в Суде 2018-04-24
4 Использование DLP – это баланс прав работника и работодателя… 2018-04-24
5 Для Работника Для Работодателя • Конституция РФ Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. • Конституция РФ Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. • УК РФ Статья 137. Нарушение неприкосновенности частной жизни • УК РФ Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений • ТК РФ Статья 21. Основные права и обязанности работника • ТК РФ Статья 392. Сроки обращения в суд за разрешением индивидуального трудового спора • Конвенция о защите прав человека и основных свобод (Россия ратифицировала ее в 1998) • General Data Protection Regulation (GDPR) • 149-ФЗ Статья 6. Обладатель информации (права) • 98-ФЗ Статья 6.1. Права обладателя информации, составляющей коммерческую тайну • УК РФ Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну • УК РФ Глава 28 Преступления в сфере компьютерной информации (ст.272-274.1) • УК РФ Статья 159.6. Мошенничество в сфере компьютерной информации • ТК РФ Статья 22. Основные права и обязанности работодателя • ТК РФ Статья 81. Расторжение трудового договора по инициативе работодателя 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; • ТК РФ Статья 192. Дисциплинарные взыскания 2018-04-24
6 Наказание по ТК РФ Наказание по УК РФ Мотив работодателя Хотим наказать быстро и просто, нужен прецедент Хотим сильно наказать (большой ущерб), нужен громкий прецедент Основание ТК РФ ст.81 УК РФ ст.183, 185.5, ст.159, 163 ст.272-274 Возмещение ущерба Обычно нет По решению суда, но надо доказать величину ущерба Трудозатраты Низкие Средние Общая длительность До 1 месяца Может быть несколько лет Процедура Простая, по ТК РФ Сложная, по УПК РФ Взаимодействие с правоохранительными органами Нет МВД России / ФСБ России Сложность сбора доказательной базы Низкая, решение принимает внутренняя комиссия Высокая, необходимо соблюсти все формальные процедуры 2018-04-24
Практика уголовных дел 7 Да-да-да, уголовных дел очень мало… 2018-04-24
8 Кейсы, свежие кейсы… 2018-04-24
9 Утечка: Попытка выноса документа (конструкторская документация, КТ) на твердом носителе за территорию Позиция истца: • Документ не КТ (нет грифа) и свободно хранится на полках • С положение о КТ не ознакомлен • Выносил документ для работы, разглашения не было Итог: Победа работника (увольнение признано незаконным) Выводы: • Факт выноса документов не может расцениваться как разглашение • Отсутствие грифа КТ создает вопросы к режиму КТ, но не критично • … 2018-04-24
10 Утечка: Многократное копирование с файловых серверов большого числа файлов (ПДн) и их запись на внешний носитель Позиция истца: • Объяснительную не запросили • Не ознакомили с актом служебного расследования Итог: Победа работника (увольнение признано незаконным) Выводы: • Запись на внешние носители – разглашение (но надо обосновывать, см. далее) • Если вы усложняете процедуру, то есть большая вероятность ошибки • Отсутствие запроса объяснительной – грубая ошибка при увольнении • … 2018-04-24
11 Из материалов дела: «Копирование истцом на внешние (личные) носители не принадлежащей ей информации, содержащей ПДн работников, создает условия для ее дальнейшего неконтролируемого распространения. Фактически, совершив такие действия, истец получила возможность распространения данной информации, при этом, не получив соответствующего права на основании закона или договора, а работодатель, являющийся оператором данной информации, допустивший к ней истца без намерения предоставить ему возможность распространения данной информации, уже не может в полной мере определять условия и порядок доступа к ней в дальнейшем, т.е. осуществлять прерогативы обладателя информации.» 2018-04-24
Еще интересные каналы утечки 12 Утечка: Фотография из больничной палаты (ПДн и врачебная тайна) опубликована в социальной сети ВКонтакте Итог: Победа работодателя Утечка: Поддельные 2-НДФЛ с реальными ПДн были записаны на несколько компьютеров (для ознакомления их пользователями) Итог: Победа работодателя 2018-04-24
Отчеты DLP для доказательства в суде • Дозор-Джет: Дело №33-90/11, Садыков Т.Ф. против ЗАО • StaffCop Дело №2-240/2012, Поготовенко Н.Г. против ООО «Шушенская марка» • Дозор-Джет и Контур безопасности: Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ) • InfoWatch: Дело №2-11976/2014 ~ М-10846/2014, ФИО1 против Фонда социального страхования • McAfee Дело 2-845/2014 (2-8415/2013), ФИО1 против АКБ «Российский капитал» • InfoWatch: Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО «Национальная служба взыскания» • SearchInform: Дело №33-33/2018. Машуков С.Г. Против АО «РУСАЛ Саяногорск» 13 NEW 2018-04-24
14 Утечка: Передача двух файлов в с зарплатами сотрудников (ПДн) на внешнюю электронную почту Позиция истца: • Письмо с документами отправлял не он (его подставили) • Работодатель незаконно перехватывал сообщения электронной почты и тем самым нарушил права работника • С положение о КТ не ознакомлен, а его подпись сфальсифицировали Итог: Победа работодателя (увольнение признано правомерным) Выводы: • DLP применяется для доказательства утечки, а доказательства принимаются судом • При доказательстве причастности к утечке следует ссылаться на использование уникальных учетных записей • У работодателя есть права на чтение переписки… 2018-04-24
Общие ощущения (субъективно) 1. Мало уголовных дел, но очень много трудовых споров. Примеры судебных решений легко найти. 2. Работодатель обычно выигрывает (~70%) 3. Ссылки на нарушение права на тайну переписки, личную и семейную тайну обычно не состоятельны… 4. Моральный ущерб обычно не платят, или он минимальный (например, 500 рублей) 5. Основные ошибки работодателя: ◦ Отсутствие режима защиты информации (особенно КТ) ◦ Нарушение процедуры увольнения (сроки и объяснительная) ◦ Отсутствие факта разглашения (утечка информации через съемные носители информации или твердые копии) 152018-04-24
Чем интересно дело Бэрбулеску? 16 1. Отличный кейс про мониторинг и чтение личной переписки (логика баланса интересов) 2. Это позиция ЕСПЧ, часто угрожают именно этим судом 3. Подробно рассмотрены подходы европейского законодательства, полезно будет для GDPR 4. Даются важные рекомендации по легализации мониторинга 5. Просто интересный кейс. Суть: сотрудника уволили за личную переписку в корпоративном мессенджере Yahoo 2018-04-24
17 121. Европейский Суд осознает происходящие быстрые изменения в этой области. Вместе с тем он считает, что пропорциональность и процессуальные гарантии против произвола являются существенными. В этом контексте внутригосударственные власти должны рассматривать как относящиеся к делу следующие факторы: (i) был ли сотрудник уведомлен о вероятности того, что работодатель может принять меры для контроля корреспонденции и других средств общения, а также об осуществлении таких мер. Хотя на практике работников можно уведомлять различными способами, в зависимости от фактических обстоятельств каждого дела Европейский Суд считает, чтобы меры соответствовали требованиям статьи 8 Конвенции, в уведомлении обычно должен ясно быть указан характер контроля, а само уведомление направлено заранее; (ii) степень контроля со стороны работодателя и степень вмешательства в личное пространство работника. В этом отношении следует проводить различие между контролем за характером переписки и ее содержанием. Также необходимо учитывать, контролируются ли все сообщения или только часть из них, а также вопрос о том, ограничен ли контроль по времени и ограничено ли количество лиц, которое может изучать его результаты (см. упоминавшееся выше Решение Европейского Суда по делу "Кёпке против Германии"). То же самое применимо и к объему контролируемой информации; (iii) указал ли работодатель законные причины для оправдания контроля за сообщениями и оценки их содержания (см. §§ 38, 43 и 45 настоящего Постановления для обзора международного и европейского законодательства в этой области). Поскольку контроль содержания переписки по своей природе носит более агрессивный характер, его применение требует более серьезных оправданий; (iv) будет ли возможно установить систему контроля, основанную на менее агрессивных методах и мерах проникновения в личную жизнь человека, чем прямой просмотр содержания переписки работника. В связи с этим в свете определенных обстоятельств каждого дела должна проводиться оценка того, могла ли поставленная работодателем цель быть достигнута без прямой оценки полной переписки переговоров работника; (v) последствия контроля для работника, в отношении которого он осуществляется (см., mutatis mutandis, аналогичные критерии, примененные при оценке пропорциональности вмешательства в осуществление свободы выражения мнения, защищаемой статьей 10 Конвенции, в Постановлении Большой Палаты Европейского Суда по делу "Компания "Аксель Шпрингер" против Германии" (Axel Springer AG v. Germany) от 7 февраля 2012 г., жалоба N 39954/08, § 95, с дальнейшими ссылками), и использование работодателем результатов контроля, в частности, были ли эти результаты использованы для достижения заявленной цели примененной меры (см. упоминавшееся выше Решение Европейского Суда по делу "Кёпке против Германии"); (vi) были ли работнику обеспечены надлежащие гарантии, особенно если контроль со стороны работодателя характеризовался мерами вмешательства в личную сферу. Данные гарантии должны особенно обеспечивать то, что работодатель не сможет ознакомиться с содержанием рассматриваемых сообщений, если только работник не был заранее уведомлен о такой возможности. В рассматриваемом контексте стоит повторить следующее: чтобы трудовые отношения были плодотворными, они должны основываться на взаимном доверии. 2018-04-24
«Юридическая воронка» DLP 18 Судебное решение До инцидента Инцидент Суд* * - если до этого дойдет • 3 уровня правильных мер и процедур, влияющих на судебное решение • Если есть ошибки и недоработки на верхних уровнях, то до нижних можно и не дойти (или результат вам не понравится) 2018-04-24
2017-09-12 19
10 Правил и 10 Рекомендаций 20 1. Документируйте перечень ИОД и лиц, допущенных к обработке 2. Документируйте правила обработки ИОД 3. Запретите разглашать ИОД 4. Установите режим защиты ИОД (особенно КТ) 5. Запретите хранить личную информацию на ресурсах компании и использовать их в личных целях 6. Уведомите о мониторинге до предоставления доступа 7. Понимайте, что утечка – не всегда разглашение 8. Не заигрывайтесь с DLP. Нельзя использовать «сомнительные» доказательства 9. Не торопитесь с управленческими решениями, но следите за сроками 10. Будьте логичны и последовательны 1. Взаимодействуйте с HR, юристами, ИТ и линейными руководителями 2. Понимайте порядок наложения дисциплинарных взысканий (по ТК РФ) и процедуру увольнения 3. Ведите хронологию инцидентов 4. Используйте принцип «неотвратимости наказания», принимайте осознанные управленческие решения 5. Ознакамливайте сотрудников с требованиями ИБ и обучайте их 6. Изучайте судебную практику 7. Знайте стратегию аргументации «легальности» DLP 8. Готовьте максимум документов для Суда (если до этого дойдет) 9. Напишите хорошее положение о подразделении ИБ и должностные инструкции 10. Знайте свои сильные и слабые стороны 2018-04-24
Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020 2018-04-24 21 Спасибо за внимание!

Recommended

Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - RussiaAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для RiscAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»InfoWatch
 
История одного дела_Емельянников
История одного дела_ЕмельянниковИстория одного дела_Емельянников
История одного дела_ЕмельянниковMikhail Emeliyannikov
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 

More Related Content

What's hot

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 

What's hot (19)

Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - Russia
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 

Similar to пр DLP при увольнении сотрудников (Прозоров)

DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»InfoWatch
 
История одного дела_Емельянников
История одного дела_ЕмельянниковИстория одного дела_Емельянников
История одного дела_ЕмельянниковMikhail Emeliyannikov
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
Михаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомМихаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомExpolink
 
Конфиденциальность корпоративных данных
Конфиденциальность корпоративных данныхКонфиденциальность корпоративных данных
Конфиденциальность корпоративных данныхAnnyScher
 
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...DataArt
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Безопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьБезопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьJuscutum
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Legaltax
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...elenae00
 
Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Mikhail Emeliyannikov
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 

Similar to пр DLP при увольнении сотрудников (Прозоров) (20)

DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»
 
История одного дела_Емельянников
История одного дела_ЕмельянниковИстория одного дела_Емельянников
История одного дела_Емельянников
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
 
Михаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомМихаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналом
 
Конфиденциальность корпоративных данных
Конфиденциальность корпоративных данныхКонфиденциальность корпоративных данных
Конфиденциальность корпоративных данных
 
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентября
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
Безопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьБезопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнуть
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
 
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
 
Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр DLP при увольнении сотрудников (Прозоров)

  • 1. Мастер‐класс: DLP при увольнении сотрудников в компании ПРОЗОРОВ АНДРЕЙ, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020 12018-04-24
  • 2. DLP и реагирование на инциденты 2 1.Обнаружение и регистрация событий системой 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент (и управленческое решение) 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент 2018-04-24
  • 3. Зачем нужна «легализация» DLP? 3 Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) и использовать отчеты DLP в Суде 2018-04-24
  • 4. 4 Использование DLP – это баланс прав работника и работодателя… 2018-04-24
  • 5. 5 Для Работника Для Работодателя • Конституция РФ Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. • Конституция РФ Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. • УК РФ Статья 137. Нарушение неприкосновенности частной жизни • УК РФ Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений • ТК РФ Статья 21. Основные права и обязанности работника • ТК РФ Статья 392. Сроки обращения в суд за разрешением индивидуального трудового спора • Конвенция о защите прав человека и основных свобод (Россия ратифицировала ее в 1998) • General Data Protection Regulation (GDPR) • 149-ФЗ Статья 6. Обладатель информации (права) • 98-ФЗ Статья 6.1. Права обладателя информации, составляющей коммерческую тайну • УК РФ Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну • УК РФ Глава 28 Преступления в сфере компьютерной информации (ст.272-274.1) • УК РФ Статья 159.6. Мошенничество в сфере компьютерной информации • ТК РФ Статья 22. Основные права и обязанности работодателя • ТК РФ Статья 81. Расторжение трудового договора по инициативе работодателя 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; • ТК РФ Статья 192. Дисциплинарные взыскания 2018-04-24
  • 6. 6 Наказание по ТК РФ Наказание по УК РФ Мотив работодателя Хотим наказать быстро и просто, нужен прецедент Хотим сильно наказать (большой ущерб), нужен громкий прецедент Основание ТК РФ ст.81 УК РФ ст.183, 185.5, ст.159, 163 ст.272-274 Возмещение ущерба Обычно нет По решению суда, но надо доказать величину ущерба Трудозатраты Низкие Средние Общая длительность До 1 месяца Может быть несколько лет Процедура Простая, по ТК РФ Сложная, по УПК РФ Взаимодействие с правоохранительными органами Нет МВД России / ФСБ России Сложность сбора доказательной базы Низкая, решение принимает внутренняя комиссия Высокая, необходимо соблюсти все формальные процедуры 2018-04-24
  • 7. Практика уголовных дел 7 Да-да-да, уголовных дел очень мало… 2018-04-24
  • 9. 9 Утечка: Попытка выноса документа (конструкторская документация, КТ) на твердом носителе за территорию Позиция истца: • Документ не КТ (нет грифа) и свободно хранится на полках • С положение о КТ не ознакомлен • Выносил документ для работы, разглашения не было Итог: Победа работника (увольнение признано незаконным) Выводы: • Факт выноса документов не может расцениваться как разглашение • Отсутствие грифа КТ создает вопросы к режиму КТ, но не критично • … 2018-04-24
  • 10. 10 Утечка: Многократное копирование с файловых серверов большого числа файлов (ПДн) и их запись на внешний носитель Позиция истца: • Объяснительную не запросили • Не ознакомили с актом служебного расследования Итог: Победа работника (увольнение признано незаконным) Выводы: • Запись на внешние носители – разглашение (но надо обосновывать, см. далее) • Если вы усложняете процедуру, то есть большая вероятность ошибки • Отсутствие запроса объяснительной – грубая ошибка при увольнении • … 2018-04-24
  • 11. 11 Из материалов дела: «Копирование истцом на внешние (личные) носители не принадлежащей ей информации, содержащей ПДн работников, создает условия для ее дальнейшего неконтролируемого распространения. Фактически, совершив такие действия, истец получила возможность распространения данной информации, при этом, не получив соответствующего права на основании закона или договора, а работодатель, являющийся оператором данной информации, допустивший к ней истца без намерения предоставить ему возможность распространения данной информации, уже не может в полной мере определять условия и порядок доступа к ней в дальнейшем, т.е. осуществлять прерогативы обладателя информации.» 2018-04-24
  • 12. Еще интересные каналы утечки 12 Утечка: Фотография из больничной палаты (ПДн и врачебная тайна) опубликована в социальной сети ВКонтакте Итог: Победа работодателя Утечка: Поддельные 2-НДФЛ с реальными ПДн были записаны на несколько компьютеров (для ознакомления их пользователями) Итог: Победа работодателя 2018-04-24
  • 13. Отчеты DLP для доказательства в суде • Дозор-Джет: Дело №33-90/11, Садыков Т.Ф. против ЗАО • StaffCop Дело №2-240/2012, Поготовенко Н.Г. против ООО «Шушенская марка» • Дозор-Джет и Контур безопасности: Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ) • InfoWatch: Дело №2-11976/2014 ~ М-10846/2014, ФИО1 против Фонда социального страхования • McAfee Дело 2-845/2014 (2-8415/2013), ФИО1 против АКБ «Российский капитал» • InfoWatch: Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО «Национальная служба взыскания» • SearchInform: Дело №33-33/2018. Машуков С.Г. Против АО «РУСАЛ Саяногорск» 13 NEW 2018-04-24
  • 14. 14 Утечка: Передача двух файлов в с зарплатами сотрудников (ПДн) на внешнюю электронную почту Позиция истца: • Письмо с документами отправлял не он (его подставили) • Работодатель незаконно перехватывал сообщения электронной почты и тем самым нарушил права работника • С положение о КТ не ознакомлен, а его подпись сфальсифицировали Итог: Победа работодателя (увольнение признано правомерным) Выводы: • DLP применяется для доказательства утечки, а доказательства принимаются судом • При доказательстве причастности к утечке следует ссылаться на использование уникальных учетных записей • У работодателя есть права на чтение переписки… 2018-04-24
  • 15. Общие ощущения (субъективно) 1. Мало уголовных дел, но очень много трудовых споров. Примеры судебных решений легко найти. 2. Работодатель обычно выигрывает (~70%) 3. Ссылки на нарушение права на тайну переписки, личную и семейную тайну обычно не состоятельны… 4. Моральный ущерб обычно не платят, или он минимальный (например, 500 рублей) 5. Основные ошибки работодателя: ◦ Отсутствие режима защиты информации (особенно КТ) ◦ Нарушение процедуры увольнения (сроки и объяснительная) ◦ Отсутствие факта разглашения (утечка информации через съемные носители информации или твердые копии) 152018-04-24
  • 16. Чем интересно дело Бэрбулеску? 16 1. Отличный кейс про мониторинг и чтение личной переписки (логика баланса интересов) 2. Это позиция ЕСПЧ, часто угрожают именно этим судом 3. Подробно рассмотрены подходы европейского законодательства, полезно будет для GDPR 4. Даются важные рекомендации по легализации мониторинга 5. Просто интересный кейс. Суть: сотрудника уволили за личную переписку в корпоративном мессенджере Yahoo 2018-04-24
  • 17. 17 121. Европейский Суд осознает происходящие быстрые изменения в этой области. Вместе с тем он считает, что пропорциональность и процессуальные гарантии против произвола являются существенными. В этом контексте внутригосударственные власти должны рассматривать как относящиеся к делу следующие факторы: (i) был ли сотрудник уведомлен о вероятности того, что работодатель может принять меры для контроля корреспонденции и других средств общения, а также об осуществлении таких мер. Хотя на практике работников можно уведомлять различными способами, в зависимости от фактических обстоятельств каждого дела Европейский Суд считает, чтобы меры соответствовали требованиям статьи 8 Конвенции, в уведомлении обычно должен ясно быть указан характер контроля, а само уведомление направлено заранее; (ii) степень контроля со стороны работодателя и степень вмешательства в личное пространство работника. В этом отношении следует проводить различие между контролем за характером переписки и ее содержанием. Также необходимо учитывать, контролируются ли все сообщения или только часть из них, а также вопрос о том, ограничен ли контроль по времени и ограничено ли количество лиц, которое может изучать его результаты (см. упоминавшееся выше Решение Европейского Суда по делу "Кёпке против Германии"). То же самое применимо и к объему контролируемой информации; (iii) указал ли работодатель законные причины для оправдания контроля за сообщениями и оценки их содержания (см. §§ 38, 43 и 45 настоящего Постановления для обзора международного и европейского законодательства в этой области). Поскольку контроль содержания переписки по своей природе носит более агрессивный характер, его применение требует более серьезных оправданий; (iv) будет ли возможно установить систему контроля, основанную на менее агрессивных методах и мерах проникновения в личную жизнь человека, чем прямой просмотр содержания переписки работника. В связи с этим в свете определенных обстоятельств каждого дела должна проводиться оценка того, могла ли поставленная работодателем цель быть достигнута без прямой оценки полной переписки переговоров работника; (v) последствия контроля для работника, в отношении которого он осуществляется (см., mutatis mutandis, аналогичные критерии, примененные при оценке пропорциональности вмешательства в осуществление свободы выражения мнения, защищаемой статьей 10 Конвенции, в Постановлении Большой Палаты Европейского Суда по делу "Компания "Аксель Шпрингер" против Германии" (Axel Springer AG v. Germany) от 7 февраля 2012 г., жалоба N 39954/08, § 95, с дальнейшими ссылками), и использование работодателем результатов контроля, в частности, были ли эти результаты использованы для достижения заявленной цели примененной меры (см. упоминавшееся выше Решение Европейского Суда по делу "Кёпке против Германии"); (vi) были ли работнику обеспечены надлежащие гарантии, особенно если контроль со стороны работодателя характеризовался мерами вмешательства в личную сферу. Данные гарантии должны особенно обеспечивать то, что работодатель не сможет ознакомиться с содержанием рассматриваемых сообщений, если только работник не был заранее уведомлен о такой возможности. В рассматриваемом контексте стоит повторить следующее: чтобы трудовые отношения были плодотворными, они должны основываться на взаимном доверии. 2018-04-24
  • 18. «Юридическая воронка» DLP 18 Судебное решение До инцидента Инцидент Суд* * - если до этого дойдет • 3 уровня правильных мер и процедур, влияющих на судебное решение • Если есть ошибки и недоработки на верхних уровнях, то до нижних можно и не дойти (или результат вам не понравится) 2018-04-24
  • 20. 10 Правил и 10 Рекомендаций 20 1. Документируйте перечень ИОД и лиц, допущенных к обработке 2. Документируйте правила обработки ИОД 3. Запретите разглашать ИОД 4. Установите режим защиты ИОД (особенно КТ) 5. Запретите хранить личную информацию на ресурсах компании и использовать их в личных целях 6. Уведомите о мониторинге до предоставления доступа 7. Понимайте, что утечка – не всегда разглашение 8. Не заигрывайтесь с DLP. Нельзя использовать «сомнительные» доказательства 9. Не торопитесь с управленческими решениями, но следите за сроками 10. Будьте логичны и последовательны 1. Взаимодействуйте с HR, юристами, ИТ и линейными руководителями 2. Понимайте порядок наложения дисциплинарных взысканий (по ТК РФ) и процедуру увольнения 3. Ведите хронологию инцидентов 4. Используйте принцип «неотвратимости наказания», принимайте осознанные управленческие решения 5. Ознакамливайте сотрудников с требованиями ИБ и обучайте их 6. Изучайте судебную практику 7. Знайте стратегию аргументации «легальности» DLP 8. Готовьте максимум документов для Суда (если до этого дойдет) 9. Напишите хорошее положение о подразделении ИБ и должностные инструкции 10. Знайте свои сильные и слабые стороны 2018-04-24
  • 21. Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020 2018-04-24 21 Спасибо за внимание!