Rambler's Top100
Статьи ИКС № 7-8 2009
Рустэм ХАЙРЕТДИНОВ  28 июля 2009

Правовой ландшафт просмотра сообщений

Споры о легальности использования систем анализа электронной почты для предотвращения утечек конфиденциальной информации не утихают уже несколько лет. Точки зрения диаметрально противоположны – от антиконституционности применения даже полностью автоматизированных решений до абсолютной легитимности просмотра электронной почты сотрудников.

Рустэм Хайретдинов, заместитель генерального директора компании InfoWatchАргументы той и другой стороны не раз приводились и на страницах печатных изданий, и на многочисленных интернет-форумах. Наибольшую активность в дискуссии проявляют обычно юристы-любители, редко сталкивающиеся в своей практике с разбором трудовых споров и судебными решениями. В основном это сотрудники компаний-вендоров технических средств информационной безопасности или специалисты служб ИБ компаний, использующих данные средства. Голоса практиков – корпоративных юристов и руководителей служб безопасности предприятий – в подобных дискуссиях почти не слышны.

Практики – а это, как правило, офицеры информационной безопасности телекоммуникационных, топливно-энергетических компаний, банков, а также эксперты спецслужб, участвующие в расследовании преступлений с использованием информационных ресурсов, – знакомы с использованием ПО, предназначенного для контроля электронной переписки сотрудников, не понаслышке. Попробуем обобщить их «голоса».

Мониторинг в качестве доказательства

Первый вопрос, который обычно интересует практиков: как, не нарушая закона, применять ПО для анализа конфиденциальной информации, содержащейся в электронной переписке и на рабочих станциях? Второй – как использовать результаты мониторинга в качестве доказательства противоправной деятельности сотрудников? В практике юридического обеспечения правомочности использования программ контроля содержимого электронной почты и рабочих станций применяются два основных сценария.

Первый – уведомительный, или пассивный. При поступлении на работу сотрудник знакомится с перечнем конфиденциальной информации, которая будет ему доступна в процессе исполнения им служебных обязанностей, и подписывает несколько соглашений с компанией, которая контролирует использование и распространение этой информации. Сотрудник подписывается под тем, что знает о недопустимости распространения этой информации, а также о том, что для контроля ее распространения компания использует или может использовать средства технического контроля.

Далее он подписывает документ, где говорится, что средства вычислительной техники и каналы коммуникаций выдаются ему исключительно для выполнения служебных задач, поэтому ни в электронных сообщениях, ни в документах на рабочей станции не должно содержаться личной информации, чтобы офицер ИБ мог ознакомиться с любым электронным письмом без негативных для себя последствий. Юридическая коллизия данной схемы организации контроля электронной почты такова: если сотрудник все же разместит личную информацию в почтовом сообщении, он нарушит лишь трудовое законодательство, а значит, может быть оштрафован или в худшем случае уволен. Офицер же информационной безопасности, получив доступ к личной информации сотрудника, посягнет на конституционное право сотрудника на неприкосновенность частной жизни и тайну переписки. А это уже уголовное преступление, предусматривающее наказание вплоть до лишения свободы.

Второй сценарий – активный. При поступлении на работу сотрудник вместе с ознакомлением со списком конфиденциальной информации в письменной форме просит компанию в лице ее офицера ИБ анализировать его переписку и содержимое рабочего компьютера на наличие информации, перемещение которой за пределы корпоративной информационной системы может привести к нарушению соглашения о конфиденциальности. В этом случае офицер ИБ становится участником переписки и электронную почту читает абсолютно легально.

Юридическая коллизия второго сценария состоит в том, что многие юристы считают просьбу об анализе переписки письменным отказом от неотъемлемого конституционного права, а значит, не имеющей юридической силы. При возникновении трудового конфликта такой документ не будет принят судом в качестве оправдания офицера ИБ, ознакомившегося с письмом, содержащим личную информацию.

В обоих случаях у юристов нет претензий к обработке информации в автоматическом режиме, т.е. программными средствами. Электронная почта сканируется несколькими типами анализаторов – антивирусными, антиспамерскими и другими программами – без нарушения законов: нарушить право на тайну переписки при автоматическом (без участия человека) анализе невозможно. Основные претензии правозащитники предъявляют скорее к процедуре обработки инцидентов.

Предположим, система выдала инцидент: в письме П.П. Петрова обнаружена конфиденциальная информация. Что дальше? Однозначного ответа на этот вопрос нет. Может ли офицер безопасности при расследовании инцидента ознакомиться с содержимым инцидента (т.е. письма), и если может, то при каких условиях и должен ли быть оповещен об этом сотрудник, по вине которого возник инцидент? Именно эти вопросы задаются чаще всего при внедрении систем мониторинга электронной почты. И задаются ровно столько времени, сколько такие системы существуют, т.е. не один десяток лет.

А как «у них»?

В одном из крупнейших французских детективных агентств Kroll, которое более 20 лет занимается расследованием компьютерных преступлений по всему миру, руководствуются европейскими требованиями к системе классификации инцидентов.

Итак, в системе ИБ возник инцидент: в исходящей электронной почте детектор обнаружил запрещенное вложение. Что делает офицер ИБ европейской компании? Прежде всего он должен определить, к какому типу нарушений отнести инцидент. Если это криминальный сценарий, т.е. в сообщении или на компьютере оказался контент, имеющий отношение к контролируемому государством предмету (детская порнография, торговля наркотиками или оружием, терроризм), в дело вступает государственная спецслужба. Она имеет право ознакомиться с содержимым письма или компьютера без согласия владельца или пользователя. Представители службы немедленно оповещаются, компьютер опечатывается до их прибытия.

Если же инцидент идентифицируется как нарушение трудового соглашения, в силу вступает механизм ознакомления офицера ИБ с документом или сообщением по согласию сотрудника. По аналогии с ознакомлением содержимого карманов покупателя в супермаркете будем называть эту процедуру «добровольным досмотром». Сотруднику предлагается показать офицеру безопасности в присутствии непосредственного руководителя содержимое письма или документа. Во Франции, например, сотрудник может потребовать, чтобы при таком «досмотре» присутствовал представитель профсоюза. При этом нужно понимать, что у сотрудника всегда есть возможность отказаться от досмотра. Однако отказ может повлечь за собой переквалификацию инцидента из трудового в криминальный.

Таким образом, европейские требования к системе классификации инцидентов включают категоризацию инцидента и информации и выявление допустимости отправки. То есть одного решения «конфиденциальная/неконфиденциальная информация» в этом случае недостаточно, нужно понимать, к какой категории относится конкретный инцидент (производственный или криминальный), и уж затем, каков тип размещенной в письме информации (производственная, финансовая, коммерческая). Важно также знать, разрешена ли отправка именно этого контента именно этим сотрудником именно по этому каналу и именно этому адресату. Последнее требование иногда можно встретить в формулировке «допустимый контентный маршрут».

Российская практика

Большинство российских офицеров ИБ считают, что при наличии соответствующих трудовых соглашений гораздо проще не настраивать систему классификации инцидентов, а использовать для классификации инцидента офицером ИБ разрешение сотрудника на просмотр его электронных сообщений. Крупные компании России практически выровняли юридический ландшафт своих трудовых отношений с сотрудниками. Трудовые соглашения различных фирм, несмотря на их принадлежность к разным отраслям экономики, различаются лишь деталями. При этом одни компании заказывают юридическую экспертизу правомерности применения средств мониторинга электронной почты у независимых юридических фирм, другие – задействуют для этого собственные юридические службы.

Нюансы – в практике использования прав доступа к содержимому электронной почты сотрудников. Одни считают, что ничего противозаконного в таком досмотре нет, поскольку копия письма с ведома сотрудников пересылается на консоль офицера ИБ, а значит, он полноправный участник переписки. Другие, как и европейцы, предпочитают всякий раз обращаться к сотрудникам за разрешением прочитать их сообщения.

Вместе с тем российская судебная практика в сфере нарушений права на тайну переписки при контроле корпоративной электронной почты на сегодняшний день отсутствует. Инциденты, связанные с разглашением конфиденциальной информации, безусловно, имели место, как, впрочем, и увольнения причастных к ним работников, но в суд на компании при этом никто не подавал. Пока.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!