Журнал "Information Security/ Информационная безопасность" #3, 2023

Действия специалиста по информационной безопас- ности при использовании DLP-системы могут нару- шать конституционные права и свободы человека, гражданина. ников, и такие их последствия, как ущерб репутации органи- зации и финансовый ущерб от действий работников. Кроме того, мониторинг информацион- ных потоков помогает при выявлении внешних атак и активности вредоносного про- граммного обеспечения. Конеч- но, это лишь некая вспомога- тельная функция DLP, которая не заменит системы класса SIEM, EDR и XDR. Мониторинг информацион- ных потоков, в отличие от бло- кировки, сопряжен с рисками для самого специалиста по информационной безопасно- сти, занимающегося таким мониторингом. Дело в том, что действия специалиста по информационной безопасности при использовании DLP-систе- мы могут нарушать конститу- ционные права и свободы чело- века, гражданина. Уголовная ответственность предусмотре- на за: l незаконное собирание или распространение сведений о частной жизни лица, состав- ляющих его личную или семей- ную тайну, без его согласия, совершенные лицом с исполь- зованием своего служебного положения (ч. 2 ст. 137 УК РФ). Максимальная санкция: лише- ние свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной дея- тельностью на срок до пяти лет; l нарушение тайны переписки, телефонных переговоров, поч- товых, телеграфных или иных сообщений граждан, совершен- ное лицом с использованием своего служебного положения (ч. 2 ст. 138 УК РФ). Макси- мальная санкция: лишение сво- боды на срок до четырех лет. Таким образом, применение DLP-системы, особенно для "работы" с рисками кадровой безопасности, когда первичен мониторинг и контроль за сотрудниками, неизбежно при- водит к необходимости обез- опасить себя при помощи так называемой легализации этой системы. Вопрос легализации DLP на сегодняшний день является достаточно дискуссионным: некоторые специалисты счи- тают, что полная легализация невозможна. По моему мне- нию, следует опираться на тол- кование судами правоприме- нительной практики, а именно на постановление пленума Верховного Суда РФ от 25.12.2018 г. № 46 "О некото- рых вопросах судебной прак- тики по делам о преступлениях против конституционных прав и свобод человека и гражда- нина (статьи 137, 138, 138.1, 139, 144.1, 145, 145.1 Уголов- ного кодекса Российской Феде- рации)". Из него следует, что специалисту по информацион- ной безопасности, работающе- му с DLP-системой, нужно обратить внимание на момен- ты, связанные с особенностями правоприменения, указанные в табл. 2. Таким образом, первое, на что рекомендуется обращать внимание специалисту по информационной безопасно- сти при начале использования DLP (или при ее внедрении), – это наличие оформленного согласия пользователей информационной инфраструк- туры на проведение подобного рода мониторинга их активно- сти. l 36 • СПЕЦПРОЕКТ Статья Особенности правоприменения 137 l Предметом преступления являются сведения о частной жизни лица, составляющие его личную или семейную тайну. Носителями сведений могут выступать документы, вещи, информация на магнитных носителях, а также сам человек. Обязательное тре- бование, предъявляемое к этим носителям законом, заключается в том, что они долж- ны содержать информацию, образующую личную или семейную тайну лица, то есть субъективно относимые человеком к скрытым от посторонних лиц данным, ранее не разглашавшиеся на публике и носящие как порочащий, так и нет характер. l Объективная сторона преступления характеризуется (в "нашем" случае) собиранием сведений о частной жизни лица (без его согласия), то есть в умышленных действиях, состоящих в получении этих сведений любым способом, например путем личного наблюдения, прослушивания, опроса других лиц, в том числе с фиксированием информации аудио-, видео-, фотосредствами, копирования документированных све- дений. l Субъект – в "нашем" случае – специальный (лицо с использованием служебного положения), то есть санкции за совершение преступления выше. l Субъективная сторона – вина в форме прямого умысла. Мотив и цель не влияют на квалификацию. Из постановления пленума Верховного Суда следует, что суду необходимо устанавли- вать, охватывалось ли умыслом, что сведения о частной жизни гражданина хранятся им в тайне. С учетом положений указанных норм уголовного закона в их взаимосвязи с положе- ниями п. 1 ст. 152.2 Гражданского кодекса Российской Федерации не может повлечь уголовную ответственность собирание или распространение таких сведений в госу- дарственных, общественных или иных публичных интересах, а также в случаях, если сведения о частной жизни гражданина ранее стали общедоступными либо были пре- даны огласке самим гражданином или по его воле. l Состав формальный – преступление признается оконченным с момента совершения указанных действий, то есть наличия последствий (вреда) не требуется 138 l Предметом преступления применительно к использованию DLP-системы являются сведения, содержащиеся в электронных сообщениях. l Объективная сторона характеризуется совершенными в нарушение установленного законодательством порядка доступом и ознакомлением со сведениями, содержащи- мися в электронных сообщениях. Следует иметь в виду, что тайна переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений признается нарушенной, когда доступ к переписке, переговорам, сообщениям совершен без согласия лица, чью тайну они составляют. Незаконный доступ к содержанию электронных сообщений может состоять в ознаком- лении с текстом и (или) материалами переписки, сообщений, их копировании, записы- вании с помощью различных технических устройств и т.п. l Субъективная сторона – так же, как и в предыдущем случае, характеризуется пря- мым умыслом. При этом ответственность по данной статье наступает независимо от того, составляют передаваемые в переписке, переговорах, сообщениях сведения лич- ную или семейную тайну гражданина или нет. l Субъект преступления – так же, как и в предыдущем случае, специальный (лицо, с использованием служебного положения). l Состав является формальным, то есть неважно, принесли ли эти действия какой-то вред потерпевшему (пользователю) или нет Таблица 2. Особенности правоприменения Ваше мнение и вопросы присылайте по адресу is@groteck.ru