|
ЭЛЕКТРОННАЯ почта, как инструмент документооборота сегодня это наиболее популярное решение в России, да и не только в ней. Очевидным лидером в данной области является семейство продуктов Microsoft Exchange, далее идут решения от Lotus, а также бесплатные аналоги. Но так ли защищена эта система – ведь задумайтесь – в ней всегда пересылаются данные практически всех уровней доступа – от общедоступного до самого защищаемого, как же добиться структуры, которая с одной стороны обеспечивала бы доступность для всех, а с другой была бы управляема, а главное, собственно, безопасна.
Отсутствие контроля за данным средством документооборота автоматически приводит к:
• перегрузке каналов связи (ненужные письма с фотографиями и спам забивают очередь отправки, а нужные письма руководства стоят в очереди на отправку часами)
• собственно утечке информации (как осознанно так и не осознанно)
• распространение по организации и клиентам вирусов и спама
• банальному использования корпоративного инструмента в личных целях (кстати, не дешевого инструмента).
Далее возникает необходимость в принятии организационно-технических мер по контролю данного канала обмена информацией. Понятно, что написания только документации уровня «пальчиком погрозить» не приведёт к желаемому эффекту, необходимо иметь техническую основу организации контроля использования электронной почты, которая бы позволяла производить досмотр и архивирование электронных писем.
После выбора и внедрения (возможны очень различные варианты) средства контроля руководство организации автоматически сталкивается с юридическим аспектом этого контроля – на данный момент работник у нас защищён, как минимум:
• ст. 23 Конституции РФ ("каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения".)
• 138 Уголовного кодекса РФ, которая гласит: "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается …". "То же деяние, совершенное лицом с использованием служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом …".
…а работодатель не имеет никаких привилегий, ведь это личная жизнь сотрудника, то есть в первом приближении законодательство РФ не дает работодателю возможности контролировать переписку сотрудников.
С другой стороны, очевидно, что услуги по обеспечению работы сети интернет не предприятии и, собственно, электронной почты, ложатся именно на работодателя, соответственно, с его точки зрения данный ресурс должен быть использован только по рабочим вопросам – логично, не правда ли, он же станет нести убытки в момент утечки конфиденциальных данных. Все это и объясняется желанием владельца компании контролировать принадлежащий компании ресурс.
Теперь рассмотрим ситуацию со стороны прав работодателя по ФЗ РФ - право контролировать каналы возможной утечки конфиденциальной информации, в том числе и электронную почту сотрудников, работодателю всё же предоставляется
• ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" гласит: "Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству Российской Федерации, меры".
• Закон РФ от 21.07.03 №5485-1 "О государственной тайне".
• ФЗ от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и защите информации".
• ФЗ 27.07.06 № 152-ФЗ "О персональных данных" (да-да – именно этот многострадальный закон – там чётко написано что каналы передачи персональных данных должны быть защищены, а значит подлежат контролю)
Соответственно не всё так плохо и для работодателя, если правильно организовать правовую базу – итак начнём.
Фактическая организация контроля
Тайна переписки переносится на её непосредственных участников только при условии банальной оплаты ими этих услуг.
Повторимся – служебная переписка организуется, оплачивается и поддерживается (имеются ввиду каналы связи, ПК, интернет и ПО) работодателем, и использование её в личных целях может рассматриваться как удовлетворение своих личных потребностей и желаний за счёт своего работодателя, что, в свою очередь, подпадает под действие любимого нами УК РФ или КоАП РФ со всеми вытекающими для данного лица последствиями.
Повторимся – служебная переписка организуется, оплачивается и поддерживается (имеются ввиду каналы связи, ПК, интернет и ПО) работодателем, и использование её в личных целях может рассматриваться только как служебная.
Для того чтобы однозначно оформить своё право на использование вышеописанных фактов работодателю необходимо:
• Указать в уставе (в данном случае устав понимается как «внутренний регламент юридического лица»), что все информационные, материальные, интеллектуальные и нематериальные ресурсы, образующиеся в процессе деятельности организации, являются её собственностью, в том числе средства документооборота (например электронная почта)
• Создать (имеется ввиду официально) структурное подразделение по контролю ИБ. Оно не может являться как таковой службой безопасности, но вопросы ИБ у нас пока не просили выносить на аутсорсинг – соответственно пользуемся.
• Издать "Положение о работе службы осуществляющей контроль безопасности". Главной задачей данного подразделения будет организация контроля технических средств документооборота и предоставления данных, в том числе и переписка. Необходимо подчеркнуть, что все средства и процедуры контроля (и даже средства, период проверки и хранения данных) должны быть расписаны
• Ввести в компании режим соблюдения коммерческой тайны (согласно ст. 10 ч.1 Закона "О коммерческой тайне").
o Руководитель организации должен издать приказ, вводящий режим работы с конфиденциальной информацией
o (в приказе) Служба контроля ИБ должна осуществлять контроль соблюдения сотрудниками требований по работе с подобной для исключения её утечки и соответствующий финансовых потерь.
• При заключении трудового договора нужно не забыть пункт, «работодатель оставляет за собой право осуществления контроля использования работником рабочего времени на рабочем месте»
• Далее необходимо отразить в регламенте организации прямой запрет использования эксплуатируемых работником средств передачи информации, а также иных технических средств, являющихся собственностью организации, в личных целях.
• Ввести (и, соответственно, ознакомить работников с операциями обжалования действий контролирующий служб внутри организации
|
ICQ: 588519443 
Skype: pTraffer
