Время новостей
     N°53, 31 марта 2009 Время новостей ИД "Время"   
Время новостей
  //  31.03.2009
Ничего личного
Кому и как можно следить за поведением сотрудников за рабочим компьютером
Все чаще компании стараются взять под свой контроль не только рабочее время своих сотрудников, но и их электронную почту, содержимое их компьютеров.

Но имеет ли право офисный пролетариат право на личную жизнь в корпоративной сети? И в чью компетенцию входит контроль за поведением сотрудников в интранете -- системного администратора или службы безопасности предприятия? Ответ на первый их этих вопросов регулируется российским законодательством, а второй в компетенции самих компаний.

Вот реальная история, происшедшая больше года назад. Системный администратор солидной московской компании по имени "ОАО НТЦ... МВД РФ" (полное название мы решили все же не публиковать) развлекал коллег, демонстрируя им, чем за рабочим компьютером занимается нелюбимый ими начальник, заведующий одним из отделов. Начальник же проявлял склонность проводить время на порносайтах.

Технически сисадмину сделать это было несложно -- софт для того, чтобы подсматривать за рабочими станциями в локальной сети, общедоступен, и сотрудники IT-подразделений вовсю им пользуются.

Само собой офисный люд с удовольствием обсуждал повадки шефа до тех пор, пока слухи об этом не дошли до сотрудников отдела безопасности, а после и до самого любителя картинок. Главным пострадавшим в этой истории стал, конечно же, сисадмин. Его уволили. Беспутный начальник нанял нового сисадмина и с его помощью перешел на новый уровень освоения информационных технологий -- стал следить за тем, что делают за компьютером его сотрудники. Новый сисадмин, впрочем, оказался парнем порядочным и людей об этом предупредил.

Те приняли информацию к сведению и без возражений: отказываться от хорошо оплачиваемой работы никому не захотелось. А отдел безопасности закрыл глаза на то, что любитель порно занялся слежкой за персоналом.

Это типичный пример независимого существования служб IT и безопасности, которое не идет на пользу компании. При правильной организации дела такое невозможно. За данными, обрабатываемыми в корпоративной сети, и за сотрудниками следят с помощью специального программного обеспечения и стандартных процедур. В данном случае достаточно было применить простейшую из них, а именно блокировать доступ к порноресурсам.

Как зовут "большого брата"?

В чьей компетенции -- IT-службы или службы безопасности -- контроль за поведением сотрудников в корпоративной сети и за личной информацией, которую они хранят на рабочем компьютере?

Компании решают эту проблему по-разному. "Эти службы могут быть на равных или подчиняться одна другой, могут дружить или соперничать, могут сообща работать на прибыль предприятия или думать только о "попиле" бюджета", -- говорит главный аналитик компании InfoWatch (специализация -- защита корпоративных данных) Николай Федотов.

По мнению директора департамента развития компании Leta IT Вениамина Левцова, функции IT и безопасности разграничить не составляет особого труда: "На плечи IT-отдела ложится обеспечение нормальной работы информационной инфраструктуры компании: чтобы письма отправлялись, чтобы документы печатались, чтобы сеть работала. Служба безопасности призвана отслеживать, что отправляется, и в случае необходимости прервать процесс отправки информации. Таким образом, сотрудники службы безопасности выступают в роли мониторщиков и репрессоров. Айтишники только предоставляют доступ к отчетам и являются источником информации. Если случаются инциденты, это дело службы безопасности".

"Соперничество IT и службы безопасности заложено в их природе. IT обычно отвечает за функциональность выпускаемого продукта или обслуживаемой информационной системы. А любое усиление безопасности неизбежно влечет снижение функциональности (или удобства, что тоже есть функциональность)", -- считает г-н Федотов.

Даже в том случае, когда отделам удается наладить взаимовыгодное сотрудничество, в информационной защите компании могут оставаться уязвимости. Как правило, это связано с недостаточной квалификацией сотрудников отдела безопасности. "В большинстве случаев они недостаточно квалифицированны, чтобы полноценно определить уровень конфиденциальной информации и возможный урон, который может понести компания при ее утечке. Так, в компании с тысячей компьютеров хранится около 100 тыс. экземпляров документов и более десяти баз данных, содержащих конфиденциальную информацию. Но понять, какая информация действительно является конфиденциальной, может только ее владелец -- линейный менеджер или начальник отдела. Поэтому при получении сигнала от DLP-системы (от Data Leak Prevention -- предотвращение утечек информации. -- Ред.) в известность должны ставиться офицер службы ИБ и владелец информации", -- говорит г-н Левцов.

Без права переписки

По российским законам руководство компании может следить за своими подчиненными. "Наблюдение за человеком во время его пребывания на рабочем месте даже с натяжкой нельзя назвать нарушением тайны личной жизни. Тем более если в компании установлен повышенный режим секретности или человек работает с информацией, которая является коммерческой тайной", -- говорит юрист московской коллегии адвокатов "Князев и партнеры" Игорь Симонов.

Но работодатель должен соблюсти правила: людей следует информировать о том, что их контролируют. Что за ними, если называть вещи своими именами, следят.

Сегодня, по мнению главного аналитика компании InfoWatch Николая Федотова, в российских офисах существует три варианта такой слежки: "Либо каждый работник устно извещается об отслеживании его сетевой активности, либо работники заранее дают письменное согласие на ознакомление с их перепиской и иными сообщениями, либо людей об этом специально не информируют, а DLP-система сканирует содержание всех сообщений на наличие ключевых слов, и письменное разрешение вскрыть переписку у работника берется только при расследовании инцидента".

Юрист Игорь Симонов говорит, что работодатель, если он желает перлюстрировать электронную почту сотрудника без его согласия, должен зафиксировать это в трудовом договоре. Иначе работники вправе защищать тайну своей личной жизни -- даже отказаться показывать содержание письма, в котором система обнаружила подозрительные ключевые слова. "Свое право на частную переписку служащий может отстаивать в суде. Чаще всего подобные дела решаются в пользу сотрудника", -- говорит Вениамин Левцов.

Но это в теории. На практике же, если возникает серьезный инцидент, почтовый ящик сотрудника сплошь и рядом вскрывается без его согласия, благо криптозащита его не слишком сложна и снимается стандартными (и недорогими) программными средствами.





Подготовлено совместно с iToday.ru

Ольга ФЕДИНА, iToday.ru, -- специально для «Времени новостей»