ЮРИДИЧЕСКИЕ НАУКИ
УДК 34:004.56 ББК 67+32.965.07
DOI 10.24411/2073-0454-2020-10283 © Д.А. Митюшин, 2020
Научная специальность 12.00.13 — информационное право
ПРАВОВЫЕ ВОПРОСЫ ПРИМЕНЕНИЯ СИСТЕМ ЗАЩИТЫ ОТ УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ
Дмитрий Алексеевич Митюшин, исполняющий обязанности заведующего кафедрой комплексной защиты информации, кандидат технических наук
Институт информационных наук и технологий безопасности Российского государственного гуманитарного университета (117534, Москва, ул. Кировоградская, д. 25 корп. 2) E-mail: [email protected]
Аннотация. Обсуждаются вопросы применения DLP-систем на объектах информатизации. Особое внимание уделено правовой основе применения систем защиты от утечки информации ограниченного распространения за периметр объекта информатизации. Приводится анализ инцидентов информационной безопасности, связанных с утечкой информации из-за действий внутренних нарушителей.
Ключевые слова: утечка информации, DLP-система, объект информатизации, нарушитель безопасности информации, инцидент информационной безопасности.
LEGAL ISSUES OF USE OF DATA LEAK PREVENTION SYSTEMS AT AN INFORMATIZATION OBJECT
Dmitry A. Mityushin, Acting Head of the Department of Integrated Information Security, Candidate of Technical Sciences Institute of Information Science and Security Technologies of the Russian State University for the Humanities (117534, Moscow, ul. Kirovogradskaya, d. 25, korp. 2) E-mail: [email protected]
Abstract. Discusses the use of DLP-systems at informatization objects. Special attention is taken care of the legal basis for the use of protection systems against limited distribution information leakage beyond the perimeter of the informatization object. An analysis of information security incidents related to information leakage due to the actions of internal intruders is provided. Keywords: information leakage, DLP-system, informatization object, intruder, information security incident.
Citation-индекс в электронной библиотеке НИИОН
Для цитирования: Митюшин Д.А. Правовые вопросы применения систем защиты от утечки конфиденциальной информации на объектах информатизации. Вестник Московского университета МВД России. 2020; (5): 163—168.
Постановка проблемы. Одним из факторов, влияющим на конкурентоспособность организации в условиях капиталистического рынка, является наличие новых разработок (ноу-хау), позволяющих опережать конкурентов, и другой важной информации, которой она обладает. И, разумеется, данная информация, является желанной целью для конкурентов. В государственных организациях, также имеется информация, которой стремятся завладеть злоумышленники. К ней можно отнести персональные данные, служебную, налоговую и прочие виды тайн, т.е. информацию, которая относится к информации ограниченного доступа1.
Определим понятия «объект информатизации» и «нарушитель». Объект информатизации (далее — ОИ) — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной
технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров2. Таким образом, под ОИ можем понимать широкий класс объектов — от отдельного компьютера до крупного предприятия. В статье к ОИ будем относить предприятие (организацию).
Нарушитель безопасности информации (далее — нарушитель) — физическое лицо, случайно или преднамеренно совершившее действия, следствием которых является нарушение безопасности информации
1 Часть 2 ст. 5 Федерального закона от 27 июля 2006 г. N° 149-ФЗ (ред. от 3 апреля 2020 г.) «Об информации, информационных технологиях и о защите информации».
2 Пункт 3.1 ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
(далее — БИ) при ее обработке техническими средствами в информационных системах3 (далее — ИС).
Банк данных угроз БИ ФСТЭК России4 (далее — БДУ) определяет два вида нарушителя — внешнего и внутреннего. Под внутренним нарушителем понимается нарушитель, находящийся внутри ИС на момент начала реализации угрозы БИ (далее — угрозы). К внутренним нарушителям относят также инсайдеров, т.е. сотрудников предприятия, которые причиняют или планируют причинение ущерба активам ОИ или помогают в такой акции внешнему нарушителю, несмотря на то, что могут выполнять инструкции лиц, находящихся вне ИС5. Под внешним нарушителем понимается нарушитель, находящийся на момент начала реализации угрозы вне ИС. Кроме того, каждый нарушитель может иметь разный потенциал (высокий, средний и низкий).
К внешним нарушителям относятся6 разведывательные службы государств, криминальные структуры, конкуренты, недобросовестные партнеры, внешние субъекты (физические лица).
К внутренним нарушителям, с учетом положений7, можно отнести следующие восемь категорий:
♦ лица, имеющие санкционированный доступ к ИС, но не имеющие доступа к обрабатываемой информации;
♦ зарегистрированные пользователи ИС, осуществляющие ограниченный доступ к ресурсам ИС с рабочего места;
♦ зарегистрированные пользователи ИС, осуществляющие удаленный доступ к обрабатываемой информации по локальным и (или) распределенным информационным системам;
♦ зарегистрированные пользователи ИС с полномочиями администратора безопасности сегмента ИС;
♦ зарегистрированные пользователи с полномочиями системного администратора ИС;
♦ зарегистрированные пользователи с полномочиями администратора безопасности ИС;
♦ программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на ОИ;
♦ разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИС ОИ.
Вернемся к проблеме. В 2019 г. экспертно-ана-литический центр (далее — ЭАЦ) группы компаний InfoWatch8 зафиксировал по всему миру 1348 утечек,
случившихся по вине или по неосторожности внутренних нарушителей (далее — внутренние утечки).
Отмечавшийся в 2017-2018 гг. рост числа внутренних утечек, в 2019 г. сменился небольшим снижением (на 3,3%). Однако, более показательно снижение доли внутренних утечек от общего числа утечек — если в 2018 г. этот показатель составлял 61,6%, то в 2019 г. — 53,7%.
При этом уже четыре года подряд доля внутренних утечек от общего числа утечек колеблется в диапазоне 53-61%, т.е. более половины всех утечек, зафиксированных в мире ЭАЦ ГК InfoWatch, происходят из-за ошибок или умышленных действий сотрудников, включая руководство, владельцев и операторов информации. При этом в 2014 г. доля внутренних утечек составила 72,8%. Снижение внутренних утечек можно объяснить, в том числе, внедрением, правильной настройкой и использованием систем защиты от утечки конфиденциальной информации (далее — DLP-системы9).
Совокупный объем данных, скомпрометированных в результате внутренних утечек, в 2019 г. составил 9,87 млрд записей. Впервые за все время наблюдений10 объем записей, скомпрометированных в результате внутренних утечек, превысил аналогичный показатель для внешних (в том же году в результате внешних утечек скомпрометировано 4,7 млрд записей).
3 Пункт 3.21 ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Ч. 1. Общие положения».
4 Банк данных угроз безопасности информации. Термины — Государственный научно-исследовательский испытательный институт проблем технической защиты информации (ФАУ «ГНИИИ ПТЗИ ФСТЭК России») // URL://https://bdu.fstec.-ru/ubi/terms/terms/index/size/100
5 Там же.
6 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. // URL://https://fstec.ru/-component/attachments/download/289
7 Там же.
8 Утечки данных организаций по вине или неосторожности внутреннего нарушителя. Сравнительное исследование. 20132019 гг. Экспертно-аналитический центр InfoWatch. 2020 г. // URL://https://www.infowatch.ru/analytics/reports/24339
9 DLP — англ. Data Leak Prevention — предотвращение утечек (прим. автора).
10 Утечки данных организаций по вине или неосторожности внутреннего нарушителя. Сравнительное исследование. 20132019 гг. Экспертно-аналитический центр InfoWatch. 2020 г. // URL://https://www.infowatch.ru/analytics/reports/24339
В 2019 г. 58,1% случаев компрометации данных в компаниях и госорганах носили случайный характер. На случайные утечки пришлось 98,1% от общего объема пользовательских данных, скомпрометированных в результате внутренних утечек. Для сравнения, в 2018 г. доля случайных утечек пользовательских данных составила 93,9%, в 2017 г. — 95,4%.
Статистика показывает11, что внутренние утечки информации, составляющей коммерческую тайну, в 2019 г. вышли с третьего место на второе (12%), потеснив платежную информацию (5,1% в 2019 г.). Безусловный лидер внутренних утечек — утечки персональных данных. Доля внутренних утечек государственной тайны с 2013 по 2016 гг. уменьшалась с 2,9 до 1,6%. Однако, в 2017 г. значение этого показателя резко выросло до 5,8%, а в 2019 г. составило 5,2%.
Таким образом, вопросы защиты информации (далее — ЗИ) ограниченного распространения встают наиболее остро. Все больше организаций, как коммерческих, так государственных, внедряют в свою деятельность DLP-системы.
Принцип работы DLP-систем строится на анализе информационных потоков, пересекающих периметр ОИ. При детектировании в информационном потоке информации ограниченного распространения, срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
Распознавание информации ограниченного распространения в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введенных меток, сравнением хеш-функции) и анализом контента, включая сигнатурный анализ файлов, анализ цифровых отпечатков в графических документах, выявление зашифрованных архивов, несовпадение сигнатуры файла его расширению и т.д.
Следовательно, при использовании DLP-систем на ОИ возникают противоречия между необходимостью защиты конфиденциальной информации и правом граждан на тайну переписки и частной жизни.
Анализ публикаций показывает, что данная проблема появилась с началом массового внедрения DLP-систем, т.е. примерно с 2010 гг. Авторы дают вполне работающие рекомендации [4, с. 22-25; 1, с. 37-41; 2, с. 128-133; 3, с. 181-183]. Это и письменное согласие от работников на мониторинг их переписки, и внесение в трудовой договор положений о необходимости соблюдения коммерческой тайны и ряд дру-
гих. Тем не менее, несмотря на это, вопрос легитимности применения ЭЬР-систем до сих пор носит дискуссионный характер, что связано с совершенствованием DLP-систем, расширением их возможностей и улучшением алгоритмов их работы.
Таким образом, целью статьи является рассмотрение вопросов, связанных с правомерностью использования на ОИ DLP-систем.
Основная часть. Противники применения DLP-систем апеллируют к тому, что сотрудники службы информационной безопасности получат возможность читать личную переписку сотрудников организации, влезать в их частную жизнь. Так, например, стандарт Банка России предписывает архивировать электронную почту12. Использовать архив планируется при расследовании инцидентов ИБ.
В соответствии со ст. ст. 23 и 24 Конституции РФ каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Кроме того, обладатель информации, которым может выступать физическое лицо, юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование, если иное не предусмотрено федеральными законами, вправе13:
♦ разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
♦ защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами14.
Таким образом, руководство организации (ОИ) вправе определить, какая информация является свободно распространяемой, какая — нет.
11 Утечки данных организаций по вине или неосторожности внутреннего нарушителя. Сравнительное исследование. 20132019 гг. Экспертно-аналитический центр InfoWatch. 2020 г. // URL://https://www.infowatch.ru/analytics/reports/24339
12 Пункт 7.6.9 Стандарта Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы. Российской Федерации. Общие положения».
13 Часть 1 ст. 6 Федерального закона от 27 июля 2006 г. № 149-ФЗ (ред. от 3 апреля 2020 г.) «Об информации, информационных технологиях и о защите информации».
14 Часть 3 ст. 6 того же закона.
Обладатель информации обязан принимать меры по защите информации, а также ограничивать доступ к информации, если такая обязанность установлена федеральными законами15. Законодатель определяет защиту информации (далее — ЗИ) как принятие правовых, организационных и технических мер, направленных на обеспечение «триады» информационной безопасности (далее — ИБ) — целостности, конфиденциальности и доступности информации16. Обладателю информации в ряде случаев вменяется в обязанность обеспечение предотвращения несанкционированного доступа к информации17 (далее — НСД) и (или) передачи ее лицам, не имеющим права на доступ к информации, а также своевременное обнаружение фактов НСД.
Итак, DLP-системы осуществляют мониторинг различных информационных ресурсов и потоков и, соответственно, при их использовании могут быть нарушены конституционные права работников ОИ. Как с этим быть?
В сети Интернет можно найти достаточно много рекомендаций на эту тему. Многие из них сводится к необходимости оформления достаточно большого количества документов, часть из которых может показаться руководству организации избыточной, но она позволит достаточно легко уволить работника, допустившего утечку конфиденциальной информации по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ. Однако, при отсутствии должного юридического оформления это будет невозможно, и часть функций DLP-систем становится бесполезной.
В первую очередь, руководство организации должно определить и документировать на ОИ перечень информации ограниченного распространения, с которым сотрудники должны быть ознакомлены под роспись. Документы, которые понадобятся на данном этапе18:
♦ перечень информации ограниченного распространения;
♦ перечень лиц, допущенных к обработке такой информации;
♦ положения об обработке и ЗИ ограниченного распространения (персональные данные, коммерческая тайна и пр.);
♦ приказы о введении режима ЗИ (например, режима коммерческой тайны).
Теперь, когда определено, какая информация подлежит защите, и кто имеет к ней легитимный до-
ступ, необходимо переходить непосредственно к вопросам ее возможного разглашения.
На первом этапе следует оформить документы, в явном виде запрещающие разглашение сотрудниками информации ограниченного распространения, ставшей им известной в связи с исполнением трудовых обязанностей. Данный запрет должен быть прописан в документах двух типов: в общих регламентах организации и в документах, касающихся режима ЗИ.
К общим регламентам относятся:
♦ трудовой договор;
♦ правила внутреннего трудового распорядка;
♦ должностная инструкция работника;
♦ положение о подразделении, в котором трудится работник;
♦ дополнительные соглашения с работником.
К документам, определяющим режим ЗИ, следует отнести:
1) документы, содержащие положения и процедуры ИБ19 —
♦ «Общая политика ИБ»;
♦ «Регламент парольной защиты»;
♦ «Регламент контроля доступа»;
♦ «Регламент защиты от вредоносного программного обеспечения»;
♦ «Регламент использования внешних информационных ресурсов, включая социальные сети и сеть Интернет»;
♦ «Регламент использования корпоративной почты»;
♦ «Политика мониторинга и контроля информационных потоков и ресурсов»;
♦ «Политика управления инцидентами ИБ»;
♦ «Регламент обучения и повышения квалификации работников» и пр.;
2) инструкции пользователям ИС, сервисов и средств ЗИ.
Этот список документов можно считать базовым и при формировании положений, перечисленных ниже.
15 Часть 4 ст. 6 того же закона.
16 Статья 16 того же закона.
17 Пункт. 4 ст. 16 того же закона.
18 DLP и Закон: как правильно оформить внедрение системы для защиты от утечек // URL://https://habr.com/ru/company/so-1агеесигиу/Ъ^/335578/
19 Названия документов могут отличаться от приведенных ниже (прим. автора).
Далее необходимо прописать ответственность за разглашение информации ограниченного распространения.
Например, ст. 13.15 КоАП РФ предусматривает ответственность за разглашение коммерческой тайны. Однако, с применением DLP-систем доказать разглашение достаточно сложно. Даже если системой зафиксированы копирование информации на внешний накопитель или ее отправка на почту постороннего лица. Если система заблокировала эти действия, то разглашения не было.
Так, Мосгосуд поддержал увольнение работника за копирование информации на флэш-карту20. Но об административной ответственности здесь речь не идет.
Следующий шаг — составление локальных нормативных актов, определяющих правила обработки и ЗИ ограниченного распространения. Сотрудники должны быть ознакомлены с ними под роспись.
Сотрудники должны знать (также под роспись), что исполнение этих правил, как и использование корпоративных средств обработки информации, контролируется с использованием средств мониторинга (DLP-систем).
Еще пример. Сотрудник М. скопировал данные на флэш-карту, но на выходе охрана его задержала, и секретные данные за территорию ОИ не ушли. Сотрудника уволили по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ. Суд21 признал увольнение незаконным. Если бы в документах, регламентирующих политику безопасности компании, был прописан запрет использования личных внешних накопителей, суд бы, скорее всего, встал бы на сторону работодателя.
Также желательно иметь следующие документы:
♦ отчеты и планы по обучению/инструктажу работников;
♦ копии журналов по обучению и повышению осведомленности работников по вопросам обработки и ЗИ.
Отдельно необходимо прописать все правила, касающиеся личной информации сотрудников, ее хранения и передачи с использованием корпоративных ресурсов, например22:
♦ запрет хранения личной информации на корпоративных устройствах;
♦ корпоративные каналы связи и средства обработки информации должны использоваться работниками исключительно для служебных (производственных) целей;
♦ запрет работникам хранения личной информации на корпоративных ресурсах (рабочие станции и файловые хранилища) и передачи ее по корпоративным каналам связи (корпоративная электронная почта, сеть Интернет и др.).
Также отдельно должны быть прописаны и регламентированы обязанности сотрудников службы ИБ в «Положении о подразделении ИБ» и должностных инструкциях ее сотрудников. Как минимум, в список должны входить:
♦ контроль соблюдения правил обработки и защиты информации ограниченного распространения;
♦ реагирование на инциденты ИБ;
♦ порядок расследования инцидентов ИБ.
Устанавливаемая DLP-система должна быть настроена на блокирование и соответствовать угрозам ИБ, актуальным для данного ОИ, а также требованиям и рекомендациям регуляторов (ФСБ России, ФСТЭК России, Роскомнадзор).
Необходимо отметить использование социальных сетей. По мнению разработчиков DLP-систем23, нет смысла ставить ограничения на использование сотрудниками соцсетей, так как достаточно много компаний используют соцсети в общении с клиентами, партнерами. DLP-системы позволяют выявить передачу личной информации через соцсети. Но в данном случае сотрудники службы ИБ не должны читать такую информацию (для защиты применяются разделяемые ключи шифрования информации), и вряд ли в данном случае можно принять какие-то управленческие решения в отношении работника.
Судебная практика по делам, связанным с увольнением работника при нарушения правил ЗИ на ОИ, показывает, что при наличии необходимого юридического оформления применения DLP-систем, суд оказывается на стороне работодателя.
Рассмотрим последний пример. Истец А. работала в должности менеджера по лизингу. Уволена по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ. С данным увольнением истец не согласна, так как не имела умысла на
20 Апелляционное определение Мосгорсуда от 12 декабря 2018 г. по делу № 33-52742/2018.
21 Апелляционное определение Новгородского областного суда от 25 июля 2018 г. по делу № 33-1732/2018.
22 DLP и Закон: как правильно оформить внедрение системы для защиты от утечек // URL://https://habr.com/ru/company/so-1агеесигку/Ь^/335578/
23 Легитимность применения DLP в организациях. Вебинар ГК Infowatch // URL://https://www.youtube.com/watch?v=VqB-vPod2BNo
отправку документов, содержащих охраняемую законом тайну, на личную почту с целью ее дальнейшего разглашения, данные документы были ошибочно подгружены из-за невнимательности; данные действия истца не повлекли каких-либо негативных последствий для компании.
Как установил суд, 5 сентября 2018 г. DLP-си-стема на базе программных продуктов Info Watch Traffic Monitor ООО «КАРКАДЕ» зафиксировала акт отправки конфиденциальной информации с рабочего компьютера, предоставленного истцу работодателем, с одного адреса электронной почты на другой (зарегистрированных за истцом). Истец отправила полный пакет документов по лизинговой сделке (анкета лизингополучателя, содержащая персональные данные физического лица — руководителя юридического лица, имеющего намерение заключить договор лизинга с ООО «КАРКАДЕ», скан паспорта и др.).
На основании служебной записки Департамента собственной безопасности ООО «КАРКАДЕ» Генеральным директором компании было проведено внутреннее расследование относительного данного инцидента ИБ.
По данному факту истец предоставила объяснение, в котором подтвердила факт отправки документов, содержащих конфиденциальную информацию, на свою личную почту с рабочего компьютера, ссылаясь на собственную невнимательность.
На предприятии был введен режим коммерческой тайны. Имелись все необходимые инструкции и регламенты по ИБ и ЗИ на данном ОИ. Суд отказал А. в удовлетворении исковых требований об отмене приказа об увольнении, изменении формулировки основания увольнения, компенсации морального вреда24.
Выводы. DLP-системы являются достаточно мощным инструментом обеспечения ЗИ на ОИ. Тем не менее, без должного юридического оформления применения таких систем многие их функции становятся бесполезными, и компания может пострадать не только из-за утечки «чувствительной» информации, но и от судебных разбирательств с незаконно уволен-
ным работником, допустившим утечку информации ограниченного доступа.
Литература
1. Журилова Е.Е., Шабуров А.С. О нормативно-правовых аспектах внедрения DLP-систем // Вестник УрФО. Безопасность в информационной сфере. 2015. № 3 (17). С. 37-41.
2. Киздермишов А.А., Киздермишова С.Х. К вопросу о вводе в эксплуатацию DLP-систем // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. 2017. № 3 (206). С. 128-133.
3. Мавринская Т.В., Лошкарев А.В., Чурако-ва Е.Н. DLP-системы и тайна личных переписок // Интерактивная наука. 2017. № 4 (14). С. 181-183.
4. Новоструев А.В., Новоструев П.А. Легитимность использования Data Leak Prevention (DLP) систем при перлюстрации электронной корреспонденции // Вестник УрФО. Безопасность в информационной сфере. 2011. № 1. С. 22-25.
References
1. Zhurilova E.E., Shaburov A.S. O normativno-pravovykh aspektakh vnedreniya DLP-sistem // Vestnik UrFO. Bezopasnost' v informatsionnoy sfere. 2015. № 3 (17). S. 37-41.
2. KizdermishovA.A., Kizdermishova S.Kh. K vo-prosu o vvode v ekspluatatsiyu DLP-sistem // Vestnik Adygeyskogo gosudarstvennogo universiteta. Seriya 4: Estestvenno-matematicheskie i tekhnicheskie nauki. 2017. № 3 (206). S. 128-133.
4. Mavrinskaya T.V., Loshkarev A.V., Churako-va E.N. DLP-sistemy i tayna lichnykh perepisok // In-teraktivnaya nauka. 2017. № 4 (14). S. 181-183.
5. NovostruevA.V., NovostruevP.A. Legitimnost' ispol'zovaniya Data Leak Prevention (DLP) sistem pri perlyustratsii elektronnoy korrespondentsii // Vestnik UrFO. Bezopasnost' v informatsionnoy sfere. 2011. № 1. S. 22-25.
24 Определение Судебной коллегии по гражданским делам Московского городского суда от 14 августа 2019 г. № 33а-4588/2019.