Михаил Емельянников - Правомерность мониторинга за...
TRANSCRIPT
Правомерность мониторинга за персоналом
М.Ю. Емельянников, управляющий партнер
2
Почему происходят утечки охраняемых данных62% работников считают приемлемым перенос рабочих документов на личные компьютеры, планшеты, смартфоны, а также в онлайн-сервисы. Эта информация не удаляется, потому что работники не видят в ее хранении никакой опасности. 56% работников не считают преступлением использование конфиденциальной информации конкурентов.51% считает приемлемым присваивать корпоративную информацию, поскольку их компания не строго относится к соблюдению собственных правил.
3
Что уходит из компаний?
65%
26%
8% 1%Россия
Персональные данные
Коммерческая тайна
Государственная тайна
Не установлено89%
6%4%1%Мир
4
Возможные каналы утечки информации
Копирование на отчуждаемые носителиОтправка по электронной почтеНеучтенная печать на бумажных носителяхРазмещение информации на интернет-ресурсахПерехват информации, передаваемой по незащищенным техническим каналам связиВзлом ИС, где хранится информация, внешними нарушителями
5
Запрет создания данных на неучтенных носителях, в том числе – бумажных Запрет копирования документа или его части на неучтенные носителиКонтроль печати документов, содержащих охраняемые данныеЗапрет пересылки охраняемых данных по незащищенным каналам связи, в том числе – по открытой электронной почте
Стандартные меры защиты от утечек
Как контролировать соблюдение этих требований?
6
Внутренние угрозы• Умышленные нарушения установленного
порядка сбора, обработки, хранения и передачи информации
• Ошибки персонала• Недостаточная подготовка персонала всех
уровней по вопросам ИБ• Сложность информационной инфраструктуры,
ее слабая интегрированность и управляемость • Отказы и сбои технических и программных
средств• Недостаточное финансирование мероприятий,
обеспечивающих информационную безопасность
• Недостаточность нормативного и правового регулирования информационного обмена
7
Инсайдеры – это кто?Штатные работники предприятия, умышленно или случайно превышающие свои полномочия при работе с информацией и/или не соблюдающие установленные правила, следствием чего является нарушение целостности, доступности и/или конфиденциальности информации.
8
Почему они это делают?Корысть
Месть Некомпетентность
Страх
9
Проблемы организации контроля
Технические
Правовые
Этические
Психологические
10
Этические проблемы• Допустимость контроля за
действиями работника• Проявление потенциального
недоверия • Пределы вмешательства • Возможный доступ к частной
жизни• Возможность
злоупотреблений• Несоответствие заявленных
целей контроля фактическим
11
Психологические проблемыПервичная психологическая реакция любого индивидуума на контрольные процедуры, которые затрагивают его жизнедеятельность, - это сопротивление ограничению его свободы.
Ханиф Муллахметов, КФУ «Контроль как этическая проблема»
Требования к контролю:• честность (порядочность) • объективность • профессиональная
компетентность • добросовестность • конфиденциальность
12
другое9%юридические
препятствия2%
отсутствие стандартов
5%
нехватка квалифицированно
го персонала7%
бюджетные ограничения
19%
отсутствие технологических
решений58%
Технические проблемы
13
Правовые проблемыСтатья 23 1. Каждый имеет право на
неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
14
Нарушение тайны связиСтатья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан -наказывается штрафом …, либо обязательными работами …, либо исправительными работами …
15
СТС для негласного съема информации
Статья 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информацииНезаконные производство, приобретение и (или) сбыт специальных технических средств, предназначенных для негласного получения информации.
16
Мониторинг – не перлюстрация
Перлюстра́ция (от лат. perlustro – обозреваю) – просмотр личной пересылаемой корреспонденции, совершаемый в тайне от отправителя и получателя.
17
Частная жизнь, личная и семейная тайна, тайна перепискиНа рабочем месте:• Компьютер и телефон – для выполнения
должностных обязанностей, а не для личных целей.
• Владелец электронного почтового ящика, абонент телефонной сети – организация, а не физическое лицо.
• Работник ведет не личную переписку, а выполняет трудовые обязанности и указания работодателя.
• Весь бумажный документооборот ведется через канцелярию, фактически с просмотром уполномоченными лицами.
18
Права на результаты интеллектуальной деятельности
Статья 1295. Служебное произведение2. Исключительное право на служебное произведение принадлежит работодателю, если трудовым или иным договором между работодателем и автором не предусмотрено иное.Статья 1470. Служебный секрет производства1. Исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю.
19
Давайте изменим маршрутизацию
20
Давайте изменим маршрутизацию
21
Без чего не обойтисьПрежде, чем организовать мониторинг:• Определить и довести до работников правила
использования средств хранения, обработки и передачи информации.
• Разработать и довести до работников регламент проведения мониторинга.
• Получить согласие работников на проведение мониторинга использования им средств хранения, обработки и передачи информации.
• [опционно] Включить положения об обязательстве работника соблюдать правила использования средств коммуникации и согласие на мониторинг в трудовой договор (дополнительное соглашение к трудовому договору).
22
Что должно быть в правилахУказание на то, что средства хранения, обработки и передачи информации принадлежат работодателю, а работник не может рассчитывать на конфиденциальность своих сообщений и отправлений.Требование об использовании телефона, факса, электронной почты, доступа в Интернет только для выполнения служебных задач. Предупреждение о наличии установленного регламента использования электронной почты.Запрет на рассылку по незащищенным каналам информации ограниченного доступа, как принадлежащей организации, так и полученной ею от других физических и юридических лиц.
23
Что делать не стоит• Прослушивать
телефонные переговоры, если нет предупреждения об этом и обоснования прослушивания (улучшение качества обслуживания).
• Мониторить входящую почту.
• Использовать результаты контроля любым способом, отличным от указанного в регламенте.
24
Зачем все это делать• Защитить нематериальные активы, способные к
правовой охране в качестве объектов интеллектуальной собственности, от неправомерного использования третьими лицами (в том числе и работниками).
• Получить помощь государственных институтов – судов, правоохранительных органов, прокуратуры, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы неправомерных действий.
• Иметь возможность применить санкции к лицам, виновным в нарушении исключительных прав, и взыскать с них убытки.
25
В июне 2013 года осужден заместитель начальника отдела продаж ЗАО «Фосагро АГ» Ашот Топчян.Он признан виновным в совершении преступлений, предусмотренных ч. 1 и ч. 2 ст. 183 УК РФ.
А.Топчян, незаконно получив доступ к электронной почте начальника отдела продаж холдинга, изменил ее настройки таким образом, чтобы поступающие на почту сообщения дублировались на указанный им адрес. С него информация, содержавшая данные об объемах производства кормовых фосфатов, условиях их продажи, ценах, взаимоотношениях с клиентами и т. д., направлялась, как установило следствие, на почтовые ящики сотрудников московского представительства швейцарской компании Transammonia AG, дочерней компании американского агрохимического холдинга. Полученная информация давала Transammonia, являющейся партнером «Фосагро», конкурентные преимущества на рынке продаж минеральных удобрений.Ранее А. Топчян пытался восстановиться на работе, подав иск в суд о незаконном увольнении, но иск был отклонен.
«Слив» и уголовная отвественность
26
Разглашение и увольнениеМосковский областной суд определением от 16 сентября 2010 года по делу № 33-18051, рассмотрев в открытом судебном заседании от 16 сентября 2010 года кассационную жалобу Л. на решение Химкинского городского суда Московской области от 20 июля 2010 года по делу по иску Л. к ОАО «АРКТЕЛ» о восстановлении на работе, взыскании заработной платы за время вынужденного прогула, компенсации морального вреда, кассационную жалобу отклонил, решение городского суда оставил в силе.Основание для увольнения – выявленная в ходе планового аудита служебной электронной почты работников, обрабатывающих персональные данные, периодическая рассылка истицей писем, содержащих персональные данные работников компании на почтовый ящик на сервисе mail.ru
27
28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию). Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц. Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны.Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации. В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса. Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.
Передача и увольнение
