При обеспечении ИБ в европейских офисах столкнулся с необходимостью соответствовать требованиям "Privacy in Working Life" (право сотрудников на конфиденциальность на рабочем месте), которые, как оказалось, могут стать серьезным барьером для внедрения отдельных средств защиты информации или мониторинга.
В различных странах могут быть свои особенности и требования, тут стоит ориентироваться на местное законодательство. Например, в Финляндии, где у нас есть офисы, приняты следующие:
- Act on the Protection of Privacy in Working Life (Laki yksityisyyden suojasta ty?el?m?ss?, 759/2004) - https://www.finlex.fi/fi/laki/smur/2004/20040759
- Разъяснения от местного надзорного органа The Data Protection Ombudsman, Frequently asked questions (FAQ) about working life - https://tietosuoja.fi/en/faq-working-life
А в общем случае стоит ориентироваться на документированное мнение Article 29 Data Protection Working Party (это та самая рабочая группа, которая публиковала официальные разъяснения по GDPR до образования EDPB), " Opinion 2/2017 on data processing at work ".
Документ крайне интересный, расскажу его основные положения.
1. Документ определяет необходимость соблюдения баланса между законными интересами работодателя при использовании новых технологий и правам работников на приватность.
"This Opinion makes a new assessment of the balance between legitimate interests of employers and the reasonable privacy expectations of employees by outlining the risks posed by new technologies and undertaking a proportionality assessment of a number of scenarios in which they could be deployed."
В документе представлены 6 базовых принципов соблюдения этого баланса (мой пересказ сути):
- Работодатель должен всегда учитывать принципы приватности независимо от используемых технологий.
- Нет разницы между приватностью электронных сообщений, сделанных на корпоративных или личных устройствах (по сути, работодатель не получает дополнительных прав и привилегий на мониторинг и контроль).
- Обычно согласие сотрудника на мониторинг не может быть основанием для правомерности такого мониторинга. Допустим вариант согласия, если сотрудник может без последствий отказаться и/или отозвать такое согласие.
- В некоторых случаях обработка данных о работниках возможна для выполнения контракта и при законных интересах при соблюдении принципов пропорциональности и субсидиарности (proportionality and subsidiarity).
- Сотрудники должны получать полную информацию о мониторинге.
- Необходимо обеспечивать адекватную защиту при трансграничной передаче данных.
2. В документе неоднократно отмечается, что работник находится в зависимом состоянии от работодателя, поэтому согласие работника не должно рассматриваться в качестве основы для обоснования правомерности мониторинга.
3. До старта мониторинга (внедрения средств мониторинга) необходимо провести оценку соразмерности ("а действительно ли надо или можем обойтись другими мерами?"), рекомендуется ее делать частью Data Protection Impact Assessment (DPIA).
4. Еще раз напоминают, что в GDPR есть отдельные положения про "Автоматизированное индивидуальное принятие решений, включая составление профиля" ("Automated individual decision-making, including profiling" (Art.22)), на которые накладываться дополнительные ограничения.
5. В документе подробно и с примерами рассматриваются различные сценарии обработки персональных данных сотрудников:
- Processing operations during the recruitment process
- Processing operations resulting from in-employment screening
- Processing operations resulting from monitoring ICT usage at the workplace
- Processing operations resulting from monitoring ICT usage outside the workplace
- Monitoring of Home and Remote Working
- Bring Your Own Device (BYOD)
- Mobile Device Management (MDM)
- Wearable Devices
- Processing operations relating to time and attendance
- Processing operations using video monitoring systems
- Processing operations involving vehicles used by employees
- Processing operations involving disclosure of employee data to third parties
- Processing operations involving international transfers of HR and other employee data
Ограничения по использованию различных СЗИ и средств мониторинга, которые мы ИБ-шники так любим, прописаны в 3м и 4м сценариях. Именно там упоминаются, и это удивительно, DLP, NGFW, UTM, MDM, средства сбора и обработки логов и многое другое.
В явном виде прописаны ограничения на контроль электронной почты и посещения сайтов сети Интернет. Например, рекомендуется ориентироваться на блокировку вместо постоянного мониторинга ("If it is possible to block websites, instead of continuously monitoring all communications, blocking should be chosen in order to comply with this requirement of subsidiarity."
А вот пример про DLP, обратите внимание на функционал оповещения работника о нарушении:
6. В документе ставится под сомнение законность (это надо рассматривать в каждом конкретном случае) использования ПО для записи и снимков экранов, записи движения мыши, записи нажатия клавиш клавиатуры, записи с веб-камер, журналирования использования приложений.
7. Рекомендуется воздержаться от использования технологии распознавания лиц при использовании системы видеонаблюдения.
Это, пожалуй, основные, но не единственные положения документа, на которые я обратил внимание и которые важны при планировании и построении системы защиты информации. Документ не большой, всего 24 страницы, но "без воды". Пожалуй. он станет моей настольной книгой на ближайшие месяцы...
Все, ушел думать...
P.S. Теперь понятно, почему российские СЗИ при всем желании не слишком хорошо продаются на Западе - просто отсутствует функционал, ограничивающий возможности безопасников... Из-за этого применение большинства российских DLP становится "вне закона" в ЕС, есть вопросы к SIEM, WAF, FW, EDR, и другим системам фильтрации и мониторинга...