пятница, 13 апреля 2012 г.

Так как же прочитать


В казарму заходит прапорщик и обращается к солдатам:

- Товарищи солдаты, кто может починить рацию на бронетранспортере?
- Товарищ прапорщик, а рация на лампах или на полупроводниках ? 
-Для особо тупых повторяю: рация на бронетранспортере. 

(анекдот)

Такое впечатление, что в IT сообществе есть легенда, о том что мы на самом деле живем в матрице и если правильно составить документ локально можно переопределить переменные, наследуемые от родительских структур. Эксперименты пока ведутся на правовом поле, но так я думаю не за горами попытки локально переопределить базовые физические константы. Это выражается в изобретении системными администраторами различного рода писем и расписок о контрафактном софте. По некоторым данным, с точки зрения следствия, эти расписки служат отличным доказательством наличия преступного сговора между начальством и сисадмином. А  в безопасности уже просто традицией стало желание отменить Конституцию. 
Как я уже говорил, не существует волшебной бумажки, подписав которую с работником, можно отменить Конституцию. Все последующие обсуждения и вопросы, в частом порядке ко мне, сильно напоминают этот шедевр. Приведу избранные высказывания:
1. «Корпоративная электронная почта принадлежит компании. Она должна использоваться сотрудником только для выполнения им служебных обязанностей и не предназначена для ведения личной переписки»

Да кто бы спорил, но право на тайну, в том числе и деловой переписки, имеет каждый гражданин. Далее см. Конституцию, ст. 23. Кроме того есть другой адресат, у которого может быть свое мнение по этому поводу. Теперь представим себе наличие личного письма в системе, которое было получено сотрудником (например, срочные новости от 4й любовницы, о том что 7я, 13я и 20я любовницы забеременели и встретились в больнице и если он не примчится немедленно в больницу, то реставрация руин бывшей больницы будет за его счет)

 2. «Ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» гласит: «Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству Российской Федерации, меры».    
Вот и применяйте меры, не противоречащие Конституции, в том числе ст. 23. Вообще любой ФЗ всегда был младше Конституции и не может ей противоречить.

3. «Вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих данной организации, и по оплаченным ею каналам связи или передачи данных, является служебной, даже если таковая ведется в нерабочее время».
И как это отменяет Конституцию? Еще раз для осознания: конституция не разделяет переписку на служебную и частную.

4. «Я напишу на чужом заборе что-то и волевым решением захочу скрыть это от посторонних. Хозяин забора, прочитавший надпись, нарушит мои конституционные права? А прохожие? Всех в уголовный суд?»
Есть некоторое различие между закупкой DLP за $1 млн. и чтением из общедоступного источника. Ключом для разрешения загадки может быть, то насколько много усилий предпринимается для нарушения тайны переписки. Для справки проводные телефоны так же ничего не шифруют и для перехвата разговора нужно всего провод и динамик на линии.

5. «Если в правилах внутреннего распорядка или подобном документе я декларирую де-юре существующее де-факто положение, что использование для переписки корпоративной почты не гарантирует соблюдение тайны переписки, что определенные (а то и все) сотрудники (а то и третьи лица), могут получить к ней доступ, то её использование в этих целях будет свидетельствовать о нежелании работника сохранять тайну, о его нежелании этим правом воспользоваться»
Еще раз, когда не применяются средства защиты информации. возникает угроза нарушения конфиденциальности в результате преднамеренных и непреднамеренных действий. Когда работодатель покупает специальную систему, устанавливает ее, настраивает с целью выделения из общего потока писем, тех что содержат резюме работника, блокирует их, а потом предпринимает дисциплинарные меры за то что раб пытался сбежать с плантации работник ищет другую работу в рабочее время, это очень не похоже на цепочку нелепых случайностей приведших к нарушению конфиденциальности. Конституция и УК декларируют защиту именно от преднамеренных, умышленных действий.

6. «Статьей Конституции Вам дано право на тайну переписки, но эта статья не налагает обязанностей ни на кого (кроме операторов связи в законе о связи, кем работодатель не является) по соблюдению Вашего права. Это как статьей Конституции дается право на свободное перемещение — попросите бесплатные билеты на поезд — у Вас же право есть на свободное перемещение, а его ограничивают стоимостью билетов»
Но статья налагает ограничения не позволяющие предпринимать активные действия со стороны третьих лиц для нарушения прав работников. 

7. «Электронная почта не является почтовой корреспонденцией. Электронная пота не подразумевает сохранения тайны технически (сообщения передаются открытым текстом, без шифрования)».
А как насчет «и иных сообщений» в ст.23 Конституции или е-mail уже и не сообщение? Так же, еще раз, проводной телефон не использует шифрование, то же не подразумевается защита?

Я понимаю, что есть страстное желание блокировать утечку коммерческой тайны. Но причем здесь личная переписка? И причем здесь просто маниакальное желание введения перлюстрации?
Есть возможность первичный анализ свалить на робота, при введённом режиме КТ есть уже опробованные варианты поведения при фиксации роботом факта передачи КТ (CSIRT, ПБ, Управление инцидентами). Рассылка резюме не является фактом утечки КТ, как в прочем и инцидентом. А обеспечение исполнения запрета на использование корпоративных ресурсов в личных целях достигается другими способами, но ни как не перлюстрацией!

7 комментариев:

  1. У меня нет денег на DLP, а режим КТ я поддерживаню путем просмотра ВСЕЙ почты в "ручном режиме", о чем всем работникам известно, я не нарушаю тайну переписки - не выкладываю личные письма в открытый доступ, а перлюстратор обязан сохранять тайну согласно должностным инстукциям. Запретить использовать корпоративные ресурсы в личных целях - мое право, и наказывать я буду не за содержание личных сообщений, а за сам факт их отправки. С входящими конечно ничего не сделаешь, но за них я и не плачу.

    ОтветитьУдалить
    Ответы
    1. По ключевым словам и IDS можно заставить отлавливать. А по поводу "нет денег", то сколько Ваш перлюстратор получает? Тыс 50? Так в этом случае базовая установка DLP окупиться за год. При 30 т.р. за полтора.
      Все остальное - нарушение. Ведь не сказано, что чужую почту читать нельзя ни кому, кроме перлюстратора. ;)

      Удалить
  2. 25 т.р. Кроме всего прочего он еще много чего делает. Круг лиц, имеющий доступ к почте ограничен и все они обязаны соблюдать тайну. Отправка личных сообщений в данном случае равносильна надписи на корпоративном заборе - только что не все могут прочитать.

    ОтветитьУдалить
    Ответы
    1. Сергей, а как быть с 23 статьей конституции, а именно со словами:
      "Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения."?
      Мне кажется. что на основании этих слов любой договор, ограничивающий права работника на использование корпоративной почты, должен заверяться компанией в суде, иначе он недействителен.

      Удалить
    2. Сергей, не стыкуется «путем просмотра ВСЕЙ почты в "ручном режиме"» и «Кроме всего прочего он еще много чего делает» в лучшем случае велика вероятность ошибки. ;)
      «Отправка личных сообщений в данном случае равносильна надписи на корпоративном заборе» К сожалению не равносильна. Условием доступа к надписи на заборе является успешное знание грамоты, что в наше время, пока является общечеловеческим признаком. В то время как «перлюстрация» почты требует специального программного обеспечения или специальной настройки почтового сервера.
      Теперь со слов знакомого юриста: Наличие документа, утвержденного директором и претворяемого в жизнь СБ фиксирует факт предварительного сговора. Согласие, подписанное сотрудником может трактоваться, как документ подписанный под давлением и дает еще один классификационный признак – использование служебного положения. Так что в пиковом случае с миллионным вопросом, нормальный адвокат знает как защищать инсайдера. ;)
      К сожалению, с действующим Законодательством РФ защита КТ становиться весьма интересной областью деятельности человека.

      Удалить
  3. Добрый день. У меня вот какой вопрос возник в связи со статьей 23. Руслан, как я понял из этой статьи, трудовой договор не может ограничить использование корпоративных аккаунтов в личных целях(имеется ввиду переписка по почте, скайп и др.)?

    ОтветитьУдалить
    Ответы
    1. Идем по порядку:
      1. Трудовой договор не может ограничить действие Конституции, поэтому СБ не стоит рассматривать положения как механизм развязывающий руки для введения тотальной слежки.
      2. Трудовой договор и правила внутреннего распорядка в праве ограничивать области использования собственности компании, более того случаются забавные прецеденты в налоговой с формулировкой «незаконное обогащение». Например, если директор ООО, он же по совместительству собственник компании едет из Новосибирска в Сочи на машине принадлежащей ООО в отпуск, то он должен взять ее в аренду. Были попытки приписать незаконное обогащение сотрудникам, которые пили чай принадлежащий Компании. ;) Поэтому положение о запрете технических и программных средств Компании в личных целях must have! Или могут быть проблемы с налоговой.
      3. Положение о запрете личной переписке должно быть и с точки зрения ИБ, как элемент ПБ устанавливающей некую меру порядка в системе. Кроме того должно быть положение о корпоративной почте, предусматривающее фиксацию любой входящей корреспонденции после ее получения.
      4. Данное положение не позволяет ввести перлюстрацию, зато позволяет задать вопрос работнику, почему не зарегистрированы почтовые сообщения такого-то числа.

      Удалить