Как защититься от утечек информации и не нарушить прайваси сотрудников

Как защититься от утечек информации и не нарушить прайваси сотрудников
Фото: Getty Images/Bloomberg

В большинстве компаний руководители осознают необходимость контроля деятельности сотрудников. Они понимают, что от этого зависит не только безопасность бизнеса, но и безопасность данных о самих сотрудниках, клиентах и партнерах. Вопрос в том, как организовать контроль законно.


Контролировать действия сотрудников на работе без конфликта интересов вполне реально. На рынке давно в изобилии представлены профильные решения, например системы защиты от утечек информации (DLP), но до сих пор не все представляют, как внедрить их прозрачно и безболезненно. Если все сделать правильно, вопросов к системе контроля не возникнет ни в коллективе, ни у регуляторов.


Определите границы


Для начала изучим Трудовой кодекс. Статья 91 ТК говорит, что в рабочее время сотрудник обязан трудиться. Для этого работодатель должен обеспечить его необходимым оборудованием и техсредствами и вправе требовать исполнения трудовых обязанностей (ст. 22 ТК РФ). Больше того, работодатель обязан создать условия для поддержания дисциплины труда (ст. 189 ТК РФ).

То есть закон буквально предписывает владельцам бизнеса контролировать своих подчиненных. Предоставленное работнику оборудование принадлежит компании, и собственник может распоряжаться им по своему усмотрению (ч. 2 ст. 209 ГК РФ): дал сотруднику компьютер — вправе установить ПО для контроля.

К тому же в некоторых отраслях контроль персонала специальными средствами — требование регулятора. Это необходимо для защиты персональных данных (по 152-ФЗ) и данных в автоматизированных системах управления на объектах критической информационной инфраструктуры (187-ФЗ). Охраняются законом медицинская и банковская тайны, информация в государственных информационных системах. Особые требования существуют по защите государственной тайны. Так что контроль — не прихоть, а прямая обязанность работодателя.


Сотрудники крупного мобильного оператора выбросили на свалку целый архив документов, содержавших личные данные клиентов. Среди прочих там оказались ксерокопии паспортов, анкеты с указанием адресов и телефонов, сведения о приобретенных клиентами продуктах и услугах, которыми они пользовались. Инцидентом заинтересовалась прокуратура, направила жалобу на оператора в Роскомнадзор. В результате компании пришлось забрать документы со свалки, пройти проверку регулятора, организовать внутреннее расследование, отрабатывать негатив в СМИ. Будь в компании лучше налажен контроль за действиями сотрудников, всех этих хлопот можно было избежать.


Обозначьте цели


В то же время статья 23 Конституции РФ гарантирует каждому гражданину право на неприкосновенность частной жизни. Сюда входит тайна телефонных переговоров и переписки, в том числе электронной: на почте, в мессенджерах и так далее. Казалось бы, именно здесь и заложен конфликт интересов работодателя и сотрудников.

Программы контроля — DLP-системы — собирают всю информацию, которую сотрудники передают друг другу на рабочем компьютере. Если с рабочего аккаунта ваш подчиненный решит обсудить с другом свою личную жизнь, данные скомпрометируются автоматически.

Значит ли это, что работодатель тут же нарушит закон? Нет. Статья 24 Конституции предусматривает, что третьи лица могут получить доступ к персональным сведениям, если гражданин лично дал на это свое согласие.

Этот факт должен быть оформлен как документ — информированное согласие о внедрении в компании средств контроля под расписку каждого сотрудника. Иначе в случае серьезного инцидента информацию нельзя будет использовать как доказательство в суде.


В одной компании систему защиты от утечек данных (DLP) установили, сообщили об этом сотрудникам, но информированное согласие с сотрудниками не подписали. В результате специалист по информационной безопасности оказался в патовом положении. Он получил информацию из DLP о том, что менеджер копировала на флешку базу клиентов данных и другие конфиденциальные документы компании. Там же он увидел, что менеджер переписывалась с представителем конкурента, обещала прийти к ним работать с базой данных.

Так как внедрение DLP не было оформлено официально, собранные программой доказательства нельзя было использовать официально, а сотрудница была вправе оспорить сам факт их сбора без ее ведома. Ситуацию спасло, что после предъявления доказательств сотрудница признала вину и уволилась по собственному желанию. Флешку изъяли, но с того дня официальное оформление информированного согласия сотрудников стало в компании приоритетом.

Важно, чтобы процедура не стала формальностью. Работники должны четко понимать, как и для каких целей будут использоваться системы контроля. Для этого:


1.

Составьте документ и по пунктам изложите в нем задачи использования системы в компании:

  • для контроля за соблюдением трудового распорядка и должностных инструкций;
  • для контроля за использованием предоставленного сотрудникам оборудования компании;
  • для обеспечения защиты коммерческой тайны и соблюдения конфиденциальности информации, как того требуют регуляторы.

Подчеркните: контроль нужен, чтобы защищать данные компании, и не более того. Эти данные содержатся в файлах в памяти компьютера и других хранилищах, могут передаваться в переписках. Именно за ними «следит» система.


2.

Введите обязательство использовать информационные ресурсы и техсредства компании исключительно для выполнения трудовых обязанностей. Запретите хранить и передавать личную информацию на рабочем оборудовании и в корпоративных сервисах. Дополните этими пунктами все трудовые договоры и должностные инструкции персонала.

Так вы донесете до коллектива, что компьютеры, данные на них и даже интернет в офисе принадлежат компании, но вы не посягаете на личную жизнь работников. Чтобы случайно не впустить работодателя на «частную территорию» — например в личный аккаунт в соцсети, — сотрудники не должны использовать имущество компании в личных целях.


Создайте условия


Мало просто поставить коллектив перед фактом, что отныне действуют запреты и внедряется система контроля. Чтобы все работало, нужно создать в компании режим защиты информации.

Вот как это сделать:


1.

Введите положение о служебной, коммерческой или другой, в зависимости от сферы бизнеса, тайне. Четко изложите, что составляет тайну, какая информация подлежит, а какая не подлежит разглашению. Добавьте в трудовые договоры сотрудников пункт о неразглашении тайны.


2.

Определите правила работы с информацией, составляющей тайну. Разграничьте доступ к этой информации, создайте перечень сотрудников или должностей, которым можно работать с критическими сведениями. Добейтесь, чтобы разграничение действительно работало: это можно сделать, например, через настройку прав для учетных записей пользователей.


3.

Настройте политики безопасности в системе контроля так, чтобы они не противоречили принятым в компании правилам и собственно бизнес-процессам. Можно запретить пересылку за пределы компании закрытой информации. Но если признать таковой коммерческие предложения, ваши сейлы не смогут отправлять КП потенциальным клиентам.

Отразив это в документах, вы погасите возможное недовольство сотрудников. Если работодатель действует в открытую, в конечном счете повышается доверие коллектива — а значит, снижается вероятность намеренных нарушений.

Но контроль — это не только про защиту «внутренней кухни». Компании, кроме собственной коммерческой тайны, имеют дело с персональными данными клиентов и партнеров, информацией о критических объектах инфраструктуры и другими важными сведениями. Вопрос их сохранности в вашем бизнесе приобретает общественную значимость.