Длиннопост про информационную безопасность (немного про DLP для людей)⁠⁠

Доброго времени суток, пикабутяне!
Достаточно долгое время я провел на данном ресурсе без регистрации (порядка 12 лет) и еще какое-то время я провел в режиме "read only" не проявляя, практически, никакой активности.
На волне авторских постов о работе разных людей решил и я попробовать себя в качестве автора.

Начитавшись горячего наткнулся на несколько постов о том, как ведут себя специалисты по информационной безопасности (и (или) системные администраторы) на работе (слив личных переписок, интимных фото, шантаж и тому подобное), я не смог остаться в стороне как человек, который непосредственно относится к данной профессии, а именно - защите информации.
Примеры постов:
Интимная переписка на работе
Ответ на пост «Интимная переписка на работе»
Ответ на пост «Интимная переписка на работе»

Коротко о себе: ведущий инженер по информационной безопасности в одной из топовых ИТ-компаний. 8 лет занимаюсь информационной безопасностью как для внешних (оказание услуг), так и для внутренних заказчиков. Я не являюсь "кулцхацкером", специалистом по взлому и др, хоть и могу переустановить "винду" и сделать прочие непотребства с вашими компьютерами. Для людей в теме - я смесь бумажного и практического безопасника, включая выполнение некоторых работ, отнесенных к смежным профессиям.

В данном посте я постараюсь кратко (на сколько это возможно) изложить кто же такие "информационные безопасники" и чем они занимаются (или должны) на работе касательно той проблематики, которую я увидел в постах пикабушников.

Как ни странно, но специалисты по информационной безопасности должны заниматься защитой информации, а именно (как учат в университетах) обеспечивать конфиденциальность, целостность и доступность информации, которая существует и циркулирует внутри какой-либо организации.

Информация - это сведения вне зависимости от формы их представления (текст, фото, видео, аудио и тд).

Не буду вдаваться в терминологию. Если говорить простым языком, то:
конфиденциальность - сохранение какой-либо информации в тайне от посторонних лиц (или лиц, для которых доступ к информации должен быть ограничен);
целостность - сохранение данных в неизменном виде (согласитесь, что вам не понравится, если содержимое вашей таблицы на 1000 строк вдруг примет непонятный вам вид или же фото/видеофайлы перестанут открываться);
доступность - обеспечение доступа для вас (пользователей) к информации в различных нештатных ситуациях (согласитесь, многих приводит в бешенство, если какой-то ресурс, которым вы должны пользоваться в личных или рабочих целях недоступен здесь и сейчас).

Вся работа специалистов по информационной безопасности должна сводиться к реализации вышеперечисленных целей с применением в своей работе организационных и (или) технических мер.

Организационные меры - это то, что многие люди не очень любят и не особо вникают в содержимое, а именно: какие-либо инструкции и регламенты по обеспечению информационной безопасности (например, парольные политики, инструкции по работе с каким-либо программным обеспечением, инструкции о пропускном режиме и прочая непонятная гадость, которую требуют подписать специалисты по кадрам (и не только) как при трудоустройстве, так и после него).
Технические меры - специализированное программное обеспечение (ПО) и программно-аппаратные комплексы (ПАК).

Так как данный пост я пишу на основе прочитанного на пикабу и эмоций, что я испытал, то хочется остановиться на конкретной технической мере защиты информации, а именно DLP-системах.

DLP (Data Loss Prevention) - системы, целью которых является предотвращение утечки информации из организации (и (или) защищенного контура, в котором производится обработка информации).

Функционал ПО такого рода обычно реализует следующий набор функций (но не ограничиваясь ими, т.к. системы постоянно дорабатываются в соответствии с ситуацией на рынке РФ и в мире):
- мониторинг доступа к каким-либо ресурсам, файлам и т.д.;
- отслеживание и блокирование передачи (отправка за пределы организации или защищенного "контура") информации (как пример, копирование на "флешку", отправка фото, видео, документов и т.д. через мессенджеры, почту и др.);
- запись действий через веб-камеру;
- запись разговоров через микрофон).

Реализация вышеуказанных функций DLP-систем достигается в том числе за счет:
- мониторинга и блокирования популярных мессенджеров (в т.ч. архивной переписки) и веб-ресурсов;
- мониторинга получения доступа к файлам и программам (рабочим и не очень);
- создания скриншотов (снимков) или видеозаписи при использовании каких-либо приложений;
- фотографирования людей через веб-камеры;
- записи происходящего через микрофоны (если таковые используются в работе, например являются частью наушников);
- других функций, которые не указаны выше.

Администрируют (управляют, имеют полный доступ) такие системы обычно специалисты по информационной безопасности, реже - системные администраторы (как правило, такое бывает когда размер организации не превышает 100 сотрудников).

Законна ли слежка на работе? Да, если вы подписали соответствующие документы при приеме на работу (как правило, информация о применении такого программного обеспечения должна быть прописана в трудовом договоре и иных нормативно-правовых актах организации, в которую вы устраиваетесь на работу).

Что могут увидеть специалисты, администрирующие системы такого рода ?
1) переписку любого рода, включая фото и видео вложения участников в почте и мессенджерах (в т.ч. та переписка, которая существовала несколько лет назад, но не была удалена вами) с использованием как веб-версий, так и в виде ПО;
2) содержимое файлов, которые вы открываете (работаете с ними, пересылаете и т.д.);
3) фото и видео ваших действий за рабочим ПК (скриншоты и (или) видеозапись ваших действий);
4) фото и видео с веб-камер, установленных на вашем рабочем месте и подключенных к вашему рабочему ПК;
5) запись любых переговоров, которые проводились рядом с вашим рабочим ПК;
5) нечто иное, что не описано в данном посте, но отнесенное к функционалу систем подобного класса.

И что эти люди делают со всей этой информацией?
Обычно, полученная информация не покидает пределы разума администратора такого рода систем и (или), в случаях, когда это необходимо, отдела информационной безопасности (наименование подразделения может отличаться) хоть и жить с этой информацией не всегда просто и иногда некоторые случаи хочется рассказать коллегам, друзьям или родным некоторые детали.

На моей памяти случались следующие события:
- просмотр порно на рабочем месте;
- поиск секс-игрушек на торговых площадках;
- обсуждение интимной жизни между мужем и женой или любовниками;
- попытки передачи конфиденциальной информации (плана продаж с указанием сумм и заказчиков) конкурентам и продажи собственности компании через площадки типа Avito;
- другие случаи, которые нет смысла описывать в данном посте.

Этика - главное понятие и правило людей, решивших заняться информационной безопасностью.
В силу специфики своей профессии я получаю доступ к различной информации, которая может быть отнесена к персональным данным, коммерческой тайне и иным конфиденциальным сведениям, разглашение которых может причинить вред конкретным людям и организациям.

Могу ли я разглашать сведения, которые получаю в рамках исполнения своих служебных обязанностей ? Да, если ваши действия нарушают законодательство Российской Федерации и нормативно-правовые акты организации, в которой вы работаете, в области защиты информации.

Может ли специалист по защите информации (или иное лицо) разглашать ваши персональные данные, если ему просто хочется обсудить вашу переписку (и иные сведения) ? Нет, т.к. вас защищает Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ и Конституция Российской Федерации (и соответствующие статьи УК РФ).

Как понять, какие сведения о вас и вашей деятельности могут быть распространены специалистом по информационной безопасности ?
В этом вопросе нет ничего сложного.
О вас могут быть распространены следующие сведения, если вы являетесь (подозреваетесь в совершении таких действий) нарушителем требований информационной безопасности установленных в организации:
- ФИО;
- занимаемая должность и подразделение, в котором вы работаете;
- доказательная база в отношении вас (переписка в мессенджере, скриншот рабочего стола, запись с веб-камеры или микрофона, время и дата совершения правонарушения и т.д.), которая позволит установить факт нарушения требований информационной безопасности с вашей стороны, и которая позволит достоверно определить вашу причастность.

Данные сведения могут быть предоставлены только:
- руководителю отдела, в котором работает администратор системы или вышестоящему руководителю;
- руководителю организации;
- ФСБ, МВД, прокуратуре, суду и (или) иным органам правопорядка, в соответствии с законодательством РФ и Конституцией.

Могут ли такие сведения быть переданы иным лицам (например, коллегам, друзьям, родственникам и тд) ? Нет! (за исключением случаев, когда это делается в соответствии с законодательством РФ и (или) обезличено, когда невозможно установить личность, к которой относятся те или иные сведения).

Все остальные случаи являются нарушением законодательства и должны (!) рассматриваться в претензионном и (или) судебном порядке.

Информация, которая может быть интересна для исследования:
Должностные лица не соблюдают тайну переписки | ComNews
Штатные «разглашатаи»: пять судебных дел по статье 183 в российских компаниях - SearchInform
Судебная практика: Использование DLP для доказательства разглашения информации (securitylab.ru)

Краткий итог моего посыла в данном посте:
1) Могут ли за вами следить на работе ? Да, если это прописано в трудовом договоре и иных документах, с которыми вы соглашаетесь при трудоустройстве и (или) в дальнейшем.
2) Что могут видеть специалисты по информационной безопасности при осуществлении своей деятельности ? Практически все, что вы делаете на рабочем ПК или находясь перед ним.
3) Могут разглашать сведения обо мне, полученные в результате "слежки" ? Да, если ваши действия нарушают нормативно-правовые акты организации в области защиты информации, но данные сведения могут быть доступны только определенному кругу лиц.
4) Должны ли "безопасники" руководствоваться "этикой" в своей работе ? Да. Но каждый из нас является личностью со своими порядками и нравоучениями, что может быть хорошо не в каждой работе.
5) Что делать, если сведения обо мне, стали доступны большему кругу лиц, чем это определено в нормативно-правовых актах работодателя ? Что делать, если меня шантажируют, используя полученные данные ? Обращаться в МВД или судебные органы для защиты ваших прав!

Благодарю всех за прочтение. Если у вас остались вопросы, то добро пожаловать в комментарии. Ответы на самые интересные вопросы готов представить в виде отдельного поста. Чтобы ваш вопрос не остался не отвеченным прошу призывать меня по нику через "@".
Желаю всем адекватных безопасников!