100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №17 "Служба информационной безопасности имеет право читать электронную почту своих сотрудников"12.02.2009 11:40
Таблица 1. Положения законодательства Рф, ограничивающие работодателю доступ к личной информации сотрудника
Нормативно-правовой акт
Таблица 2. Положения международного права, ограничивающие работодателю доступ к личной информации сотрудника
Подобный материал:
1   ...   11   12   13   14   15   16   17   18   ...   69

Миф №17 "Служба информационной безопасности имеет право читать электронную почту своих сотрудников"12.02.2009 11:40


Именно такое мнение часто приходится слышать из уст сотрудников этих служб. Мотивация понятная - им поручено обеспечивать защиту коммерческой тайны предприятия и предотвращать утечку конфиденциальной и важной информации. А так как одним из каналов утечки является электронная почта, то специалисты по защите закономерно считают, что ее надо контролировать в поисках следов утекаемых данных. В целом желание понятное, но оно вступает в противоречие с существующим законодательством. В июле прошлого года, специально для bankir.ru, я написал статью «Легитимна ли перлюстрация электронной почты на предприятии» (ссылка скрыта и ссылка скрыта), которая вызвала не только живой отклик, но и бурную ссылка скрыта. Ее суть может быть охарактеризована следующим образом - благие намерения по защите информации предприятия не могут вступать в противоречие с существующим законодательством.

Не берясь пересказывать всю статью, приведу только ссылки на российское и международное законодательство, которые ограничивают работодателю доступ к личной информации сотрудника (см. Таблица 1 и Таблица 2).

Таблица 1. Положения законодательства Рф, ограничивающие работодателю доступ к личной информации сотрудника

Нормативно-правовой акт

Норма закона

Конституция РФ. Статья 23

Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения

Федеральный Закон от 12.08.95 № 144-ФЗ «Об оперативно-розыскной деятельности». Статья 8

Проведение оперативно-розыскных мероприятий, которые ограничивают конституционные права человека и гражданина на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, а также право на неприкосновенность жилища, допускается на основании судебного решения...

Уголовно-процессуальный Кодекс РФ от 18.12.2001 №174-ФЗ. Статья 13

Ограничение права гражданина на тайну переписки, телефонных и иных переговоров, почтовых, телеграфных и иных сообщений допускается только на основании судебного решения

Уголовный Кодекс РФ. Статья 138

Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев.

Федеральный Закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Статья 9

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами

Постановление Пленума Верховного Суда от 31.10.1995 № 8. Пункт 14





Таблица 2. Положения международного права, ограничивающие работодателю доступ к личной информации сотрудника





Всеобщая Декларация прав человека. Статья 12

Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию.

Международный пакт о гражданских и политических правах. Статья 17

Никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.

Европейская Конвенция о защите прав человека и основных свобод. Статья 8

Каждый человек имеет право на уважение его личной и семейной жизни, неприкосновенности его жилища и тайны корреспонденции


Обычно сразу после упоминания «личной информации» встает вопрос о том, что на работе никакой личной информации быть не может и ее надо запрещать. С точки зрения логики это правильно, но с точки зрения реализации такого запрета на практике возникает множество непростых вопросов. Во-первых, вам не могут официально запретить работу с личной информацией - это нонсенс. Во-вторых, как бы мы не считали, что на работе надо работать, а не заниматься личными делами, но заранее мы не можем сказать, является ли сообщение, передаваемое по служебным каналам связи, деловым или личным. Т.е. можно попытаться включить в отдельное соглашение или трудовой договор такой запрет, но проверить его исполнение на практике будет невозможно, т.к. мы вступим в противоречие с уже упомянутыми нормами права.

Можно долго ссылаться на различные законодательные акты, запрещающие просмотр переписки сотрудников, но проблема контроля e-mail остается. Как ее решить? Если не брать в расчет очевидное и единственное предусмотренное законом решение (получение решения суда), то у нас остается только один легитимный механизм - внедрение систем предотвращения утечек информации (т.н. DLP-решения), которые в автоматическом режиме могут просматривать все исходящие из компании информационные потоки и искать в них признаки нарушения политики безопасности. Главное, чтобы эти системы работали в автоматическом режиме, - это не является нарушением законодательства. В случае сигнализации об обнаружении подозрительного письма, имеющего все признаки нарушения, достаточно обратиться к его автору с просьбой показать содержание письма. Если в нем нет ничего крамольного, то и скрывать письмо от службы безопасности никто не будет. А вот если у отправителя «рыльце в пушку» и демонстрировать письмо он не собирается (заставить его невозможно), то со спокойной совестью приторможенное на виртуальной границе предприятия письмо можно удалить или поместить в архив - его неотправка никакого ущерба никому не нанесет. Правда в данной ситуации сотрудники службы безопасности должны вести себя правильно, не перегибая палку и не давя на подозреваемого сотрудника. Возможно его отказ связан не с желанием скрыть правду, а с попыткой принудить его к открытию письма. А всем нам известно, что когда на нас начинают давить в условиях, когда мы ни в чем не виноваты, то мы скорее уйдем в глухую оборону, а не будем, пойдя на встречу, объяснять, почему с нами не надо так разговаривать.