В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Александр Синельников, менеджер по продвижению продуктов компании "Инфосистемы Джет"
ЭЛЕКТРОННАЯ почта сегодня - это дешевый и удобный канал связи для получения информации извне и способ ее распространения между сотрудниками компании. Она позволяет оперативно управлять бизнес-процессами, но вместе с тем является одним из наименее защищенных ресурсов корпоративной информационной системы.
Отсутствие контроля над использованием электронной почты сотрудниками компании со стороны руководства или сотрудников службы безопасности порождает ряд серьезных проблем: утечка конфиденциальной информации, распространение по локальной сети организации компьютерных вирусов и спа-ма, использование сотрудниками корпоративной почты в личных целях. Последнее приводит к потере сотрудниками рабочего времени, перегрузке каналов передачи информации и, как следствие, неоправданному росту стоимости их содержания. Для решения этих проблем необходимо использовать комплекс организационно-технических мер контроля корпоративной электронной почты.
Необходимость внедрения именно комплекса мер обусловлена тем, что одни только организационные меры неэффективны. Недостаточно создать политику использования корпоративной электронной почты, издать приказ или распоряжение, ознакомив с положениями этих документов сотрудников под роспись, необходимо еще иметь возможность контролировать выполнение сотрудниками этих директив техническими средствами, которые включают в себя контроль содержимого писем и ведения архива переписки по электронной почте.
Но в этом случае руководство компании сталкивается с иным риском - юридической ответственностью в части законности проверки почтового трафика и правом сотрудников на тайну личной переписки.
Разберем проблему противостояния работников и работодателей в данном вопросе подробно.
Каждый сотрудник имеет право
Согласно Конституции РФ (ст. 23 Конституции РФ), "каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения".
Именно на эту статью чаще всего ссылаются сотрудники, если возникает вопрос о правомерности контроля переписки, ведущейся по корпоративной электронной почте, телефонных переговоров сотрудников, посещения ими тех или иных Интернет-сайтов со стороны работодателя. То есть законодательство РФ не дает работодателю права контролировать переписку сотрудников и не предусматривает возможностей нарушать ее конфиденциальность. При возникновении конфликтных ситуаций по вопросам использования корпоративной почты сотрудники компании чаще всего ссылаются на ст. 138 Уголовного кодекса РФ, которая гласит:
Однако абонентом телефонной сети, оплачивающим переговоры, является организация - юридическое лицо, а вовсе не ее сотрудники. То же относится и к вопросам использования электронного почтового ящика. Тем не менее многие сотрудники склонны рассматривать эти ресурсы, предоставленные им организацией в качестве инструмента для решения служебных задач, как элемент своей частной жизни.
Каждый работодатель имеет право
Работодатель правомерно считает, что корпоративная электронная почта принадлежит компании. Она должна использоваться сотрудником только для выполнения им служебных обязанностей и не предназначена для ведения личной переписки. Работодатель оплачивает почтовый трафик, используемый сотрудниками в личных целях, и их рабочее время, потраченное на личное общение. Он же будет нести убытки в случае утечки конфиденциальной информации. Все это и объясняется желанием владельца компании контролировать принадлежащий компании ресурс.
Федеральный закон Российской Федерации дает работодателю право контролировать каналы возможной утечки конфиденциальной информации, в том числе и электронную почту сотрудников. В частности, ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" гласит: "Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству Российской Федерации, меры".
Приведем еще ряд законов, которые работодатель может использовать в случае необходимости отстаивания своих прав:
Однако несмотря на достаточно большое количество законодательных актов, защищающих права владельцев компаний, руководителям организаций, внедряющим технические средства контроля каналов связи или передачи данных (в том числе и электронной почты), все же хочется знать, как в подобной ситуации не выйти за рамки закона.
Организация контроля корпоративной электронной почты
Тайна переписки распространяется на лиц, участвующих в ее процессе, только при оплате этих средств и услуг оператора связи самостоятельно.
Служебная переписка организуется в производственных целях в рабочее время при помощи технических средств, принадлежащих организации. Если сотрудник включает в этот процесс личные мотивы и цели, то подобные действия можно рассматривать как удовлетворение личных потребностей за счет организации, что, соответственно, попадает под действие УК РФ или КоАП РФ со всеми вытекающими для данного лица последствиями.
То есть вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих данной организации, и по оплаченным ею каналам связи или передачи данных, является служебной, даже если таковая ведется в нерабочее время.
Для того чтобы все вышесказанное имело правовую основу, руководителю организации необходимо выполнить ряд обязательных процедур:
Вывод
Подведем некоторые итоги. Для того чтобы у руководителей компании не возникло проблем с законом в вопросах организации ИБ, юристы рекомендуют:
В свою очередь, сотрудникам организации (чтобы у них не возникло конфликтов с работодателем) юристы советуют соблюдать трудовую дисциплину и помнить, что личная переписка защищена законом лишь в том случае, если она ведется в свободное от работы время, на личном оборудовании и оплачивается человеком самостоятельно.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2007