Контакты
Подписка
МЕНЮ
Контакты
Подписка

Служебные проверки. Тонкости организации и проведения

Служебные проверки. Тонкости организации и проведения

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Служебные проверки. Тонкости организации и проведения

Что из себя представляет служебная проверка и всегда ли она нужна, разбираемся. Строго говоря, термин “служебная проверка” относится к сфере государственной гражданской службы1. Термины “внутренняя проверка”, “служебное расследование” и другие подобные нормативно в трудовом или смежном законодательстве не закреплены2. Тем не менее термин активно используется. Формализуем его для унификации понимания и дальнейшего использования, опираясь на соответствующий термин из области государственной гражданской службы.
Петр Ляпин
Эксперт по информационной безопасности

Под служебной проверкой будем понимать совокупность мероприятий, проводимых представителями работодателя в целях своевременного, всестороннего, полного и объективного изучения произошедших событий, имеющих признаки дисциплинарных проступков, установления лиц, к ним причастных, степени их вины, нанесенного или потенциального ущерба.

Следующим важным вопросом является действительная необходимость проведения такой служебной проверки. Дело в том, что организация и проведение служебных проверок – это достаточно ресурсоемкий для работодателя процесс. Поэтому если нет четкого понимания необходимости, целей и возможных конечных результатов, то бросаться "во все тяжкие" с большой вероятностью не стоит.

Служебная проверка является важным элементом системы управления инцидентами в организации. Специфика ее в том, что предметом как правило являются дисциплинарные проступки работников этой же организации. Если инцидент не связан напрямую с работником, а касается, например, противоправных действий третьих лиц (распространение вредоносного ПО, неправомерный доступ или попытки такового и т.п.) или правонарушений со стороны различных категорий служащих, то речь может идти уже об административном правонарушении, преступлении или иных специальных видах правонарушений, порядок рассмотрения и расследования которых предполагает участие специальных субъектов и строго определен действующим законодательством: уголовным, административным, законодательством о государственной гражданской службе, воинскими уставами и внутренними нормативными документами федеральных органов исполнительной власти. Если инцидент связан с нарушением требований договора одной из сторон гражданских правоотношений, то его разрешение – с применением норм гражданского и арбитражного законодательства.

Наиболее интересными в контексте статьи являются инциденты, имеющие место в организациях (в основном коммерческих) и связанные с участием работников, которые требуют проведения служебной проверки. Ключевой момент здесь заключается в том, что если работодатель и работник в состоянии договориться и разрешить любой возникающий между ними вопрос самостоятельно, то проведение служебной проверки не требуется априори, более того, это лучший вариант развития событий для обеих сторон, прямо предусмотренный законом. Многие положения трудового законодательства имеют диапозитивный характер, а само государственное регулирование трудовых отношений имеет ярко выраженную направленность на равноправие, взаимное уважение и учет интересов обеих сторон (институт социального партнерства3). Часто в целях управления взаимоотношениями между работником и работодателем последнему достаточно грамотно использовать систему необязательных поощрений (премий).

Другое дело, когда работник и работодатель не имеют возможности самостоятельно разрешить возникшие вопросы. Тогда их арбитром и конечной инстанцией будет суд. Именно он является адресатом всех тех задокументированных положений и утверждений, на которые стороны будут ссылаться, доказывая свою точку зрения.

#Ошибка_1 Одной из ошибок, допускаемых работодателем, является принятие решений или совершение каких-либо действий в отношении работника, не имея на то достаточных оснований, в надежде урегулировать (узаконить) их последующей служебной проверкой. Ухудшает положение работодателя в этих случаях отсутствие релевантного опыта и действующего в организации института служебных проверок.

Итак, рассмотрим подробнее ключевые этапы подготовки и проведения служебной проверки в обычной (коммерческой) организации и некоторые ошибки, их сопровождающие.

Подготовка

Исходное положение, на которое необходимо ориентироваться при подготовке и организации процесса, следующее: самостоятельное разрешение проблемы сторонами в силу каких-либо причин невозможно. В общем рассматриваемом случае сторонами (участниками) процесса являются работодатель и работник, а конечной инстанцией, рассматривающей спор, будет суд.

Нормативно закрепленного порядка проведения служебных проверок, перечня необходимых документов и требований к их содержанию, а равно и специальных требований, которыми надлежит руководствоваться судам, нет. Но есть результаты обзора обширной судебной практики, отраженные в постановлении Пленума Верховного Суда РФ от 17.03.2004 № 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации", с применимыми положениями которого настоятельно рекомендуется ознакомиться.

Рассмотрим один из успешно применяемых на практике примеров организации и проведения служебных проверок по тем инцидентам информационной безопасности, которые образуют составы дисциплинарных проступков. Остальные инциденты, с том числе связанные с внешними воздействиями, безусловно, подлежат рассмотрению, но полноценный механизм служебных проверок для них видится избыточным по меньшей мере потому, что использование его результатов сильно ограничено соответствующими процессуальными нормами.


Типовая ситуация: работодатель обладает информационными ресурсами, некоторые из которых предоставляет работникам для выполнения трудовых функций, и имеет потребность и возможности контролировать режим их использования; работник использует предоставленные ему ресурсы в соответствии с установленными правилами в целях выполнения своей трудовой функции. Какие вопросы и как должны быть урегулированы в таком случае? Пойдем по порядку.

1. Отражение в трудовых договорах положений о допустимом использовании и праве работодателя контролировать этот порядок использования (в том числе с помощью специальных аппаратно-программных средств). Это могут быть нормы в части обеспечения режима коммерческой тайны, выполнения требований политик информационной безопасности и др.

2. Отражение в должностных инструкциях работников конкретных положений о порядке использования ресурсов работодателя, запретах и ограничениях.

#Ошибка_2 Одной из распространенных ошибок этого этапа является размытый, неконкретный (общий) характер формулировок ограничений и запретов, зафиксированных в должностных инструкциях, что приводит к значительным трудностям доказывания их нарушений.

3. Отражение ключевых положений допустимого использования в правилах внутренного трудового распорядка.

4. Хорошей практикой является описание порядка организации и проведения служебных проверок во внутренних нормативных документах (например, в правилах внутреннего трудового распорядка или отдельным документом).

5. Наделение полномочиями (обязанностями) контроля выделенного работника или подразделения (подразделения информационной безопасности, например), с отражением этих полномочий в должностных инструкциях работников.

6. Доведение указанных документов до сведения всех работников, например, под роспись.

#Ошибка_3 Частой ошибкой являются случаи, когда указанные документы разработаны, введены в действие в организации, но не доведены до сведения работников. Таким образом, доказать, что конкретный работник нарушил отдельные требования, будет затруднительно (чаще невозможно).

7. Развертывание, ввод в действие и надлежащая эксплуатация средств и систем контроля. Следует обратить внимание, что какая-либо сертификация или аттестация в целях организации и проведения служебных проверок нормативными документами не установлена. Использование свободно распространяемых программных продуктов вполне допустимо.

#Ошибка_4 Ошибки, допускаемые некоторыми организациями в этой части, заключаются в использовании средств с нарушением требований лицензионных договоров или средств, закупленных, но не введенных в эксплуатацию.

Отдельное внимание следует обратить на массу спорных вопросов в части возможного нарушения конституционных прав граждан на тайну переписки при осуществлении контроля использования работниками информационных систем работодателя.

Процесс

Инцидент случился, установлены предварительные факты. С этого момента начинается течение сроков, отведенных на его проверку и вынесение решения (о применении или неприменении взыскания, например). Общий срок, установленный Трудовым кодексом РФ на применение дисциплинарного взыскания к работнику, – один месяц со дня обнаружения проступка4. Время болезни, отпуска, командировки не учитывается. Руководствуясь этим, целесообразно организовать проведение проверки достаточно оперативно, обычно в 5–7-дневный срок.

Порядок

1. Выявление и фиксация факта инцидента (события).

Результатом этого этапа может являться докладная (служебная) записка или акт, отражающий факт нарушения и всю относящуюся к нему информацию, такую как дата, время, описание события, реквизиты использованных учетных записей, если инцидент касается информационных ресурсов, и др. Сюда же прикладываются первичные свидетельства события нарушения: фрагменты журналов регистрации событий, снимки экрана, акты осмотра помещений или средств вычислительной техники, копии документов и т.п. Причем не все подряд, а только то, что позволяет выделить в событии признаки нарушения установленных требований (признаки инцидента). Речь пока только о событии нарушения и его признаках, а не о дисциплинарном проступке. Например, событие локальной аутентификации при физическом отсутствии работника на контролируемой территории или событие подключения к конечной системе запрещенного устройства.

#Ошибка_5 Частой ошибкой является указание в первичных документах не факта события и его значимых характеристик, а прямое указание "заранее виновных" лиц, из состава тех, например, кому принадлежат использованные учетные записи, с соответствующими выводами.

2. Принятие руководством организации решения о проведении проверки.

В результате может появиться приказ (распоряжение) о проведении служебной проверки по данному факту. В приказе целесообразно указать персональный состав комиссии и сроки проведения проверки. С целью всестороннего и объективного рассмотрения материалов видится правильным включать в состав такой комиссии представителей подразделений безопасности (в том числе информационной), кадров, юристов, а также в отдельных случаях специалистов профильных подразделений.

#Ошибка_6 Одной из ошибок является факт принятия решения о проведении проверки не уполномоченным на это лицом. Например, заместителем директора издается приказ (распоряжение) о проведении проверки, но в выданной ему доверенности такие полномочия отсутствуют.

3. Доведение приказа (распоряжения) до сведения работника, в отношении которого проводится проверка.

4. Запрос и получение объяснений5 от работников, причастных к событию.

Запрос при этом должен быть оформлен письменно и содержать перечень вопросов, на которые работник должен ответить по существу. В случае отказа работника от предоставления объяснений должен быть составлен соответствующий акт и приложен к материалам дела.

#Ошибка_7 Ошибкой может являться устный запрос объяснений, а также неоформление акта об отказе предоставления объяснений работником. В этом случае порядок применения дисциплинарных взысканий может оказаться нарушенным, что часто трактуется в пользу работника.

5. Проведение проверки.

Проведение мероприятий по выявлению дополнительных признаков инцидентов, изучение документов, установление причин и условий произошедшего, причастных лиц и степени их вины. Формирование акта по результатам проверки. При фиксации процесса и результатов служебной проверки в акте настоятельно рекомендуется ссылаться на положения внутренних нормативных документов (в том числе трудовых договоров и должностных инструкций), а также прикладывать к акту их копии.

6. Доведение содержания акта до сведения работника, в отношении которого проводилась проверка, в целях реализации его права на обращение, например, в комиссию по трудовым спорам работодателя.

7. Издание и доведение до сведения работника приказа о применении дисциплинарного взыскания. Это исключительно прерогатива руководства организации. Виды дисциплинарных взысканий строго ограничены законодательством: это может быть замечание, выговор или увольнение по соответствующим основаниям6. Причем руководство не имеет установленной законом обязанности в части применения дисциплинарных взысканий, поэтому (и так часто бывает в практике) взыскания может и не быть. Часто сам факт служебной проверки является достаточным наказанием для работника. На этом служебная проверка обычно заканчивается.

Выводы

Итак, рассмотрев нормативное регулирование и примеры практической реализации служебных проверок, мы выявили ряд существенных аспектов.

1. Институт служебных проверок далеко не универсальный и при этом достаточно затратный инструмент, который, несмотря на отсутствие установленных законом процедур, требует определенной подготовки и аккуратности в применении.

2. Это единственный законный способ привлечения работника к ответственности в рамках трудового законодательства.

3. Основными участниками служебной проверки являются две стороны – работник и работодатель, а сроки ограничены одним месяцем с момента обнаружения проступка.

4. Конечным адресатом документов, которые формируются в процессе проведения служебной проверки, является суд. Документы будут являться основным, главным и часто единственным значимым доказательством при рассмотрении судами дел этой категории.

5. В рамках служебных проверок имеет смысл рассматривать лишь небольшой объем инцидентов. На практике подавляющее большинство инцидентов информационной безопасности рассматриваются (расследуются) гораздо более оперативными и менее формализованными процедурами. Так, например, вряд ли имеет смысл проводить служебную проверку по каждому факту срабатывания одного или нескольких средств защиты или корреляционных правил систем управления событиями, что, однако, не отменяет обязанности ответственных работников оперативно и детально разбираться в происходящем и объективно оценивать степень риска.

Залогом успеха в любом случае будет разумный баланс в применении всех доступных инструментов. И даже на таком локальном уровне на ум приходят слова министра иностранных дел России С.В. Лаврова: "…Если будут опускать железный занавес, то ненароком могут себе чего-нибудь прищемить".

___________________________________________
1 Ст. 59 Федерального закона от 27 июля 2004 г. № 79-ФЗ “О государственной гражданской службе Российской Федерации".
2 Расследование несчастных случаев на производстве и профессиональных заболеваний в контексте статьи не рассматриваем.
3 Раздел II, ч. 2 ТК РФ, “Социальное партнерство в сфере труда".
4 Ст. 193 ТК РФ.
5 Ч. 1 ст. 193 ТК РФ.
6 Ст. 192 ТК РФ.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2018

Приобрести этот номер или подписаться

Статьи про теме