Если вы собрались в суд

[infowatch]

Компания намерена использовать собранные DLP-системой данные в качестве цифровых доказательств. Например, в ходе уголовного преследования сотрудника за нарушение информационной безопасности.



В этом случае крайне желательно, чтобы организация контроля в компании была изначально выполнена юридически чисто. Важно, чтобы права владельца информации и сервисов (компании) на защиту не входили в противоречие с конституционными правами сотрудников (на тайну личной жизни и тайну переписки). До сотрудников следует в явном виде донести, что у компании есть право устанавливать правила по работе с информацией ограниченного доступа, и, что еще важнее, контролировать их выполнение. В том числе и с использованием DLP…

Мы рекомендуем выполнить хотя бы минимальный перечень мероприятий:

1. Определить и документировать перечень информации ограниченного доступа. Особо обратите внимание на информацию, составляющую коммерческую тайну и персональные данные (к ним есть дополнительные требования).
2. Определить и документировать требования по работе с информацией ограниченного доступа.
3. Определить и документировать требования по работе с ИТ-сервисами, предоставляемыми в компании (электронной почтой, сетью Интернет, мобильными устройствами, копировально-множительной техникой, съемными носителями, персональными компьютерами). В явном виде желательно прописать, что компания использует автоматизированные средства контроля выполнения данных требований.
4. Внести в трудовые договоры и/или дополнительные соглашения с сотрудниками положения о неразглашении информацию.
5. В положения о подразделении ИБ и должностные инструкции специалистов ИБ прописать функции по обнаружению и реагированию на инциденты.
6. Ознакомить сотрудников под роспись со всем документами.

Данные перечень не является исчерпывающим, но он содержит основные мероприятия, позволяющие «закрыть» вопросы юридической стороны использования DLP.