今日は、情報漏えいを防ぐためのシステム導入の正当性などの重要なトピックをもう一度取り上げたいと思います。 企業が情報資産の安全性について考え、DLPソリューションを実装するのは素晴らしいことです。 ただし、この実装に法的な登録が伴わない場合、DLP機能の一部は単に「抜け落ち」ます。 会社は、機密情報を開示した罪を犯した従業員(または、たとえば、従業員の訴訟に苦しむ可能性がある)に対してDLPデータを法廷で使用することはできません。 今日の小さな資料では、これを回避する方法と「わらを敷く」場所を説明しています。
ロシア連邦労働法98-、152-などに従って、組織におけるDLPの機能には、法的な登録を必要とするいくつかの側面が含まれています。 すぐに、以下で提供するドキュメントのリストがいくぶん冗長になるように予約してください。 規制がない場合、これは致命的ではない可能性があります。 しかし、この分野での長年の仕事の中で、特に機密データを「漏らした」従業員を訴えなければならない場合、多くの裏付け文書はないという意見を発展させてきました。
もう1つの重要な点は、ほとんどの規制と規定では、契約の当事者の1人として行動するか、文書の内容に精通していることを確認する従業員の署名が必要なことです。 したがって、DLPの実装の合法的な実行に関する作業には、人事部門、そしてもちろん弁護士を関与させる必要があります。
アクセス制限情報
まず、機密データは会社が秘密にしておきたいものではなく、アクセス制限情報として正式に修正されるものであることを理解する必要があります。 アクセス制限情報には、個人データ、コマーシャル、オフィシャル、プロの秘密、発明の本質に関する情報などが含まれます。したがって、最初のステップは、従業員が受領時に知っておくべきアクセス制限情報のリストを決定し、文書化することです。 この段階で必要となるドキュメント:
- アクセス制限情報のリスト。
- 制限された情報の処理を許可された人のリスト。
- アクセスが制限されている情報(PD、CTなど)の処理と保護に関する規定。
- 情報セキュリティの導入の注文(特にCT)。
制限された情報の開示
どの情報を保護し、誰がその情報に合法的にアクセスできるかがわかったので、その開示の可能性の問題に直接進むことができます。 まず、労働義務の遂行に関連して従業員に知られるようになったアクセス制限情報の従業員による開示を明示的に禁止する文書を作成する必要があります。 このような禁止は、2種類の文書で説明する必要があります。一般的な会社の規制と情報保護体制に関する文書です。
全般:
- 雇用契約。
- 内部労働スケジュールのルール。
- 従業員の職務内容。
- 従業員の部門に関する規制。
- 従業員との追加契約。
情報保護モード:
- ISの規制と手順を含む文書:一般的なISポリシー、パスワード保護、アクセス制御、マルウェア保護、IPおよびサービス(インターネットおよび企業のメールを含む)の許容される使用、監視と制御、インシデント管理、トレーニングおよび意識向上など
- 情報システム、サービス、情報セキュリティツールのユーザーへの指示。
このドキュメントのリストは、以下の記事に記載されている規定の形成に役立つと考えることができます。
さらに、私たちが理解しているように、違反に対する責任が明記されていない場合、禁止は何の価値もありません。 アクセスが制限されている情報を開示した人物は、ロシア連邦の法律で規定されている方法で、懲戒、行政、民事、刑事責任を問われる可能性があります。 そして、特に、他の従業員の個人データの開示を含む、彼の労働義務の遂行に関連して従業員に知られるようになった法律(州、商業、公的およびその他)によって保護された秘密の開示は、雇用主の主導による従業員の解雇の基礎であることを思い出します(ロシア連邦の労働法、81条、パラグラフ6c)。
情報の処理/保護および監視ツールの使用に関するルール
次のステップは、制限された情報を処理および保護するためのルールを定義する現地の規制を策定することです。 従業員は署名のためにそれらに精通している必要があり、企業が精通ジャーナルのコピーを保持することをお勧めします。
従業員は、これらの規則の実装および企業の情報処理施設の使用が監視ツールを使用して監視されていることを知っておく必要があります(つまり、再度慣れ親しんでいます)。
また、次のドキュメントは不要ではありません。
- 従業員を訓練/指導するためのレポートと計画。
- 情報処理および保護に関する従業員トレーニングおよび意識向上雑誌のコピー。
企業リソースの個人情報
それとは別に、従業員の個人情報に関するすべてのルール、その企業のリソースを使用した保存および送信について詳しく説明する必要があります。
- 企業のデバイスに個人情報を保存することは禁止されています。
- 企業のコミュニケーションチャネルと情報処理ツールは、従業員が公式(生産)目的にのみ使用する必要があります。
- 従業員は、個人情報を企業リソース(ワークステーションおよびファイルストレージ)に保存し、企業通信チャネル(企業の電子メール、インターネットなど)を介して送信することを禁止されています。
情報セキュリティ課
また、セキュリティ担当者の義務は、IS部門とその従業員の職務記述書に関する規制で規定され、明記される必要があります。 少なくとも、このリストには、制限された情報の処理と保護、および情報セキュリティインシデントへの対応に関するルールへのコンプライアンスの監視が含まれます。
DLPシステム
情報保護システムは、会社に関連する脅威、規制機関(ロシアのFSB、ロシアのFSTEC)の要件と推奨事項に準拠する必要があります。 セキュリティ担当者がこれを確認するのに役立つもの:
- 脅威モデルと侵入者モデルから抽出します。
- 保護システムのTKおよびTPから抽出します。
- DLPシステムに関するヘルプ(機能と証明書)。
- 情報セキュリティの監査と検査、適合証明書のコピーに関するレポート。
以上です。 記事が有用な場合は、継続して、内部攻撃者を法的に正しく解雇する方法と、従業員が制限付きアクセスの情報を漏らした場合の対処方法を説明できます。