Информационная безопасность. Может ли внутреннее расследование инцидента быть доказательством в суде?
Если в компании произошел инцидент безопасности, например кто-то из сотрудников слил конфиденциальную информацию, — это повод для внутреннего расследования и дальнейшего обращения в суд. Разбираемся, как провести внутреннее расследование и представить суду материалы, чтобы не проиграть судебный процесс из-за собственных ошибок.
Кто может проводить внутреннее расследование?
Для начала выясним, кто вообще уполномочен проводить внутреннее расследование.
Здесь всё четко регламентировано — расследованием занимается заместитель руководителя по организации информационной безопасности. Обратите внимание: закон не обязывают каждую компанию иметь такого специалиста, но если он не утвержден, материалы внутреннего расследования суд не примет.
В его ведении находится отдел информационной безопасности, который состоит из руководителя и технических специалистов. Ему же иногда подчиняется отдел информационных технологий — это не только информационная безопасность, но и все технологии, которые обеспечивают инфраструктуру организации: интернет, телефония, связь, видеофиксация.
При проведении внутреннего расследования обязательно создается комиссия, состав которой утверждается приказом руководителя организации. Членами комиссии могут быть руководитель отдела по информационной безопасности, IT-специалист, руководитель подразделения, в котором произошла утечка информации, юрист организации и кадровый специалист. Для объективного и справедливого разбирательства члены комиссии должны быть непредвзяты и беспристрастны к сотруднику. То есть если у кого-то из членов комиссии с ним конфликт или, наоборот, он состоит с «возможным виновником» в личных или семейных отношениях, он может быть необъективен.
В ходе расследования комиссия собирает доказательства инцидента, выявляет виновные действия сотрудника, составляет протокол, в котором указывает обстоятельства инцидента.
Какие бывают доказательства?
Чаще всего компании проигрывают суды из-за собственной небрежности и ошибок в сборе и предоставлении в суд доказательств. Суд при разбирательстве дела рассматривает две формы доказательств: вещественные и письменные.
Вещественные доказательства
Определение вещественных доказательств указано в ст.73 ГПК РФ и в ст. 81 УПК РФ. Это могут быть орудия, материалы, документы, которые доказывают факт совершения правонарушения или помогают установить значимые для дела обстоятельства.
В нашем случае такими вещественными доказательствами могут быть материальные носители информации: флешки, жесткие диски.
Использование аудио- и видеозаписи, как доказательств по делу, прямо закреплено статьями 55 ГПК РФ и 64 АПК РФ.
Но здесь есть неприятный сюрприз: наше процессуальное законодательство до сих пор считает бумажные носители приоритетными. То есть всё, что зафиксировано на других носителях, по возможности нужно перевести в бумажный формат, чтобы доказательства имели силу, — сделать скриншоты сообщений об утечке, транскрипцию аудиозаписей, расшифровку видео, выполнить побайтовое копирование жесткого диска на момент развития инцидента или выполнить дамп оперативной памяти.
Лучшим будет доказательство первой инстанции — журналы аудита системы контроля доступа, журналы системы обнаружения вторжений, журналы операционных систем.
Письменные доказательства
Это могут быть объяснительные лиц, причастных к инциденту, мнения привлеченных экспертов и специалистов, отчеты. Их соответствующим образом оформляют и приобщают к материалам дела. Письменные доказательства должны соответствовать признакам достоверности. В соответствии с пунктом 6 статьи 67 ГПК, при оценке копии документа или любого другого письменного доказательства суд проверяет, не вносились ли изменения при копировании с целью подделать доказательства, с помощью какого технического приема выполнено копирование и т. п.
Какие предъявляются требования к доказательствам?
По требованиям процессуального законодательства, доказательства должны быть допустимыми и относимыми. Что это значит?
Допустимое доказательство
В нашем случае допустимые доказательства это те, которые:
- Не противоречат действующему законодательству и получены законным способом. Недопустимыми считаются доказательства, основанные на слухах, догадках и предположениях.
- Надлежащим образом оформлены, например актом или протоколом. Это могут быть распечатки материалов, скриншоты, показания подозреваемого, свидетелей, заключения специалистов, заверенные лицами, участвующими в деле.
Относимое доказательство
Относимое доказательство должно соотноситься с другими документами и доказательствами, которые имеют значение для рассмотрения дела (ст. 59 ГПК РФ). Простой пример: вы обратились в суд, предъявили документы, которые доказывают, что по вине сотрудника Х произошла утечка. Но суд обнаружил несогласованность в ваших документах: в одном написано, что за обработку персональных данных в компании отвечает сотрудник Y, а в другом документе таким ответственным назван сотрудник C. Или документы указывают на другой инцидент. Такие доказательства, скорее всего, не примут.
Все документы должны быть подписаны уполномоченными лицами. Если документ подписан неуполномоченным лицом или ответственный сотрудник не участвовал в расследовании, то доказательства в суде могут не принять.
Скрины с интернет-страниц можно использовать в качестве доказательств, но с соблюдением требований:● На скриншоте отображены адрес страницы, дата и время создания.
● Скриншот заверен подписью руководителя или представителя по делу, у нотариуса это делать не обязательно.
А вот если вы взломали чей-то аккаунт и сделали скриншоты переписки, суд не примет такое доказательство, пусть даже оно достоверное и подтверждает вашу правоту.
Если в качестве доказательства выступает информационный след, например, видеофиксация, информация из облака, данные истории браузера, то нужно предоставить подтверждение, что информационный след имеет отношение к компании.
Если при использовании интернет-ресурсов с провайдером не заключен договор на предоставление интернет-доступа, то вы не можете утверждать, что этот информационный след относится к вашей компании, а значит доказательств как таковых нет.
Видеозапись, предъявляемая в качестве доказательства, тоже должна соответствовать требованиям:
- Камера принадлежит компании и установлена лицензированной организацией.
- Для всех камер назначен регламент записей, установлены сроки их хранения.
- Всё, что связано с камерами, регламентируется и фиксируется, и ответственный за это сотрудник обязан составлять акт уничтожения видеозаписи с истекшим сроком или же иметь списки хранения с фиксацией.
Буквально каждый шаг фиксируется, и, если, например, у судьи возникают вопросы, компания может показать журнал, в котором всё четко отражено. Чем больше официальных бумаг, тем больше шансов у компании выиграть дело.
Суды, связанные с информационной безопасностью, могут проходить в закрытом режиме. В России сегодня это распространенная практика: компании не хотят огласки и репутационных потерь.
Если утечка произошла не из-за прямого умысла, а по недосмотру – это преступление/правонарушение?
Спойлер: да, это правонарушение, но есть нюансы. Представим ситуацию — сотрудник записал важный пароль на листке бумаги и оставил листок на видном месте. Этим воспользовался мошенник. Кто виноват? Давайте разбираться.
Если речь идет об утечке персональных данных, то за это всегда отвечает компания как оператор по обработке персональных данных. Если компания проведет проверку и сообщит в Роскомнадзор, что с ее стороны все необходимые действия выполнены, то Роскомнадзор может ограничиться предписанием устранить нарушение и указанием на недопущение таких действий в будущем.
О каких действиях речь? Виновный в непредумышленной утечке получил дисциплинарное взыскание, злоумышленник выявлен (или им занимаются правоохранительные органы), предприняты меры, чтобы не допустить в дальнейшем подобного инцидента.
Если из-за небрежности сотрудника компании причинен ущерб, довод нерадивого работника «я нечаянно» тут не поможет. У организации есть все основания взыскать ущерб с виновного лица.
Нормативная база
При расследовании инцидента необходимо учитывать основные положения законодательства в сфере информационной безопасности и защиты конфиденциальной информации и персональных данных. Приводим краткий перечень действующего законодательства, который поможет в сборе доказательств:
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
- Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
- Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера».
- Федеральный закон от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».
- Федеральный закон от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Федеральный закон от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Конечно, лучший вариант — не доводить дело до суда. В нашей практике был случай, когда компания пошла нестандартным путем, и это оказалось правильным решением. В крупном медицинском холдинге произошел инцидент ИБ. В систему внедрили вирус, который привел к утечке персональных данных медицинских карт. Компания честно объяснила клиентам и партнерам, почему так произошло, принесла свои извинения и предложила бонусы. Взамен клиентов просили подписать соглашение о том, что они не имеют претензий к компании за случившееся. В итоге всё обошлось, холдинг избежал репутационных потерь и штрафных санкций.
Но если вы решили идти в суд, то тщательно собирайте доказательства. Отклонение от закона может привести к тому, что ваше надежное доказательство не будет иметь силы и вы проиграете процесс.
Система Staffcop поможет легко и быстро провести расследование инцидентов ИБ и собрать все необходимые доказательства. Протестировать продукт можно совершенно бесплатно в течение 15 дней, для этого достаточно оставить заявку на сайте компании. А чтобы быть в курсе всех инноваций или получить ответы на актуальные вопросы, рекомендуем подписаться на наши соцсети.