Журнал "Information Security/ Информационная безопасность" #3, 2018

– В последнее время повышается значимость принципов невмешательства в личную переписку и личную жизнь, появляются новые законы (такие как GDPR). Учитывают ли разработчики DLP-систем, что в потоке данных могут попадаться личные данные, а их сбор и хранение в архивах может быть незаконным и привести к юридическим последствиям? Роман Ванерке – Определенно система DLP обладает всеми возможностями по перехвату данных, в которых могут быть и личные данные сотруд- ников. С одной сторо- ны, зачем использовать корпоративные ресурсы для своих целей (и многие работодатели пользуются этим, утвер- ждая, что все, что обрабатывается в их сети, не может быть личным и, соответственно, не подпадает под дей- ствие закона). С другой стороны, даже если система обрабатывает личные данные, то это автоматизированная обработка, которая не запрещена. DLP- система обладает необходимым инструментарием по управлению досту- пом к накопленным данным, оповеще- нию как офицеров ИБ, так и владель- цев информации, а также и самих пользователей. Кроме этого, система должна выполнять обфускацию кри- тичных данных. Сергей Вахонин – Принцип невмеша- тельства в личную переписку на Западе является одним из основных факторов при выборе и внедре- нии DLP-систем. Для решения этой проблемы в DLP-реше- нии должна быть предусмотрена тех- ническая возможность обрабатывать только те персональные коммуника- ции, в которых выявлены конфиден- циальные корпоративные данные, а также возможность собирать, обра- батывать и хранить только эту часть коммуникаций работника, исключив таким образом проблему сбора и хра- нения личных коммуникаций органи- зацией. Это реализуется, если в пол- ной мере использовать возможности контентной фильтрации, задать поли- тики для детектирования только тех данных, которые непосредственно являются конфиденциальной корпо- ративной информацией, например содержат определенные службой ИБ признаки, теги, ключевые слова и выражения. При корректном задании правил контентной фильтрации в реальном времени (разумеется, при наличии такой функции в DLP-реше- нии) служба ИБ может контролиро- вать содержимое исходящих сообще- ний в чатах, почте и передаваемых файлах, особенно когда контент фильтруется в момент передачи непо- средственно на хосте. Дмитрий Кандыбович – Практики примене- ния европейского закона GDPR малова- то. Согласно 152-ФЗ, вся информация, кото- рая относится к пер- сональным данным, и регламент ее использования описаны ФСТЭК. Компания имеет право конт- ролировать информацию, касающую- ся бизнеса. Но работников следует оповестить о том, что информация контролируется, и они должны под- писать соответствующие документы. На крупном предприятии желательно ввести режим коммерческой тайны. Можно негласно собирать информа- цию, но с ней нельзя обратиться в суд. Оператор связи несет ответ- ственность за сохранность переда- ваемых данных согласно ст. 138 УК. Мы даем инструмент с очень широким функционалом, а как его использо- вать – ответственность за это несет заказчик. Алексей Парфентьев – Мы учитываем Евро- пейский регламент защиты данных и серь- езно доработали свое решение под него. Во- первых, изолировали и дополнительно защити- ли хранение чувствительных пользова- тельских данных, сделали их аудит опциональным. К примеру, пароли для входа в личные кабинеты, клиент- банкинги и т.д. могут исключаться из теневого копирования либо храниться в особо защищенном виде и с отдельными настройками доступа даже для сотруд- ников ИБ. Во-вторых, расширили возможности инструментов аудита персональных дан- ных внутри корпоративной инфраструк- туры, чем закрыли одну из ключевых задач GDPR. Заказчикам доступно углубленное детектирование персональ- ных данных, даже если компания исполь- зует облачные сервисы СУБД, виртуа- лизации или хранения. Алексей Раевский – Ввод в действие GDPR, наоборот, дол- жен позитивно повли- ять на рынок DLP в Европе. Раньше внед- рение DLP-систем в европейских странах осложнялось как раз тем, что там общество традиционно очень рев- ностно относится к приватности и анализ переписки сотрудника, даже на работе, воспринимался в штыки профсоюзами и общественными организациями. С принятием GDPR использование DLP-систем легити- мизируется, поскольку без них выпол- нение ряда требований этого закона невозможно. Как при этом будет решаться проблема приватности самих сотрудников, пока непонятно. Скорее всего, им придется не исполь- зовать для решения личных вопросов рабочий компьютер, как это принято в других странах. – Как вы решаете проблему невмешательства в личную переписку своих сотрудников, используя DLP-системы со сплошным журналированием сетевого трафика? Петр Ляпин – Не касаясь вопросов противодействия тер- роризму, ответ на этот вопрос следует искать на границе конститу- ционного и трудового права. С одной сторо- ны находятся гарантированные Кон- ституцией РФ права граждан на неприкосновенность частной жизни, тайну переписки, телефонных пере- говоров и иных сообщений, а с другой – дисциплина труда и трудовой распо- рядок, в частности те его положения, которые касаются предоставления работодателем работнику инструмен- тов и ресурсов для исполнения последним трудовой функции. Иными словами, работник в соответствии с установленной трудовой дисциплиной вправе использовать переданные ему и принадлежащие работодателю средства (информационные системы) исключительно для выполнения тру- довых функций, а работодатель впра- ве устанавливать режим использова- ния таких средств и осуществлять необходимый контроль. • 29 DLP www.itsec.ru Партнер "Круглого стола" www.searchinform.ru