22 сентября, суббота 11:55
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ИБ - нормативные аспекты

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ИБ - нормативные аспекты

    Вот что пишут из ИфоВатч
    CNews: Необходимо ли, на ваш взгляд, на законодательном уровне установить (или запретить) право на досмотр почты сотрудников компании?

    Денис Зенкин: Право на неприкосновенность личной переписки закреплено в п.2 ст.23 Конституции РФ. Однако это не значит, что контроль рабочей переписки сотрудника с использованием информационной системы работодателя попадает под действие этой статьи. Законодательство России (Федеральный закон «Об информатике, информатизации и защите информации», Федеральный закон «О коммерческой тайне», Трудовой кодекс, Уголовный кодекс) закрепляет за юридическими лицами право на защиту собственной информации. Чтобы привести внутренние процедуры в соответствие с действующим законодательством, необходим комплекс мер. Во-первых, внедрение в организации положения о конфиденциальности, описывающего нормы внутренней ИТ-безопасности и список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен "под роспись". Во-вторых, требуется модификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить тайны, а также условие, что все, созданное сотрудником на рабочем месте, направляется в корпоративные информационные ресурсы. Таким образом, организация получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять, архивировать, анализировать на предмет наличия конфиденциальных данных.
    Хочу поинтересоваться как у кого сделано, то что я выделил жирным шрифтом?

  • #2
    В положение об использовании корпоративной электронной почты прописывается, что эта почта только для работы и не является личной. Кроме этого, там же, прописывается право (в интересах безопасности", просмотра этой почты. Все доводится до персонала.
    А "левые" почтовые ящики запрещены (административно и технологически) к использованию из сети. Дома - пожайлуста. Если все же надо на работе (обычно кадровики просят, что замаскировать, с какой организации они выставляют вакансию), есть процедура согласования.

    Комментарий


    • #3
      2Stnslav Соглашусь.
      Хочу понитересоваться про положения о конфиденциальности.
      Его как я понимаю невозможно заменить строчкой в трудовом договоре(о неразглашении банковской и коммерческой тайны)?
      Он подписываеться при устройстве на работу?!
      а также условие, что все, созданное сотрудником на рабочем месте, направляется в корпоративные информационные ресурсы
      Написано не красиво, вот думаю как правильнее это оформить?

      Комментарий


      • #4
        В положение об использовании корпоративной электронной почты прописывается, что эта почта только для работы и не является личной..... А "левые" почтовые ящики запрещены - у нас дополнительно к этому прописано, что вся информация созданная в сети является собственностью организации и организация периодически проверяет выполнение данного требования... просматривая информацию. Если попадется что то личное, то типа извиняйте что копались в вашей почте, но мы предупреждали. Со всеми правилами сотрудники ознакомлены под роспись.

        обычно кадровики просят и маркетинг тоже хочет

        Комментарий


        • #5
          По-моему, товарищ чуть-чуть не в теме.

          Нужно помнить, что в случае конфликта люой пункт трудового договора может быть признан ничтожным, если он противоречит законодательству РФ. В случае переписки, то ситуация очень интересная.

          1. "подписанный трудовой договор должен содержать ... условие, что все, созданное сотрудником на рабочем месте, направляется в корпоративные информационные ресурсы"

          В такой формулировке это условие абсолютно безграмотно. Письмо, в том числе и электронное, может являеться литературным произведением, а следовательно - объектом авторского права. Для этого достаточно поставить копирайт в соответстви со статьей 9 "Об авторском и смежных правах". Причем мнение работодателя никто не спрашивает - это исключительное неимуществунное право, распространяющееся и на служебные произведения.

          В соответствии со статьей 15 закона, работник, являясь автором письма, имеет право на обнародование произведения. Если вставить в ТД предлагаемый пункт, получаем формальное противоречие противоречие c законом. Нужно делать кучу оговорок...

          2. "Законодательство ... закрепляет за юридическими лицами право на защиту собственной информации."

          Ключевым моментом является статья 4 ФЗ "Об информации, информационных технологиях и защите информации": "обладатель информации при осуществлении своих прав обязан ... соблюдать права и законные интересы иных лиц". В данном случае законным интересом является тайна личной переписки, определенная Конституцией РФ.

          Для некоторых видов конфиденциальной информации эти самые законные интересы ограничиваются федеральными законами. Но обратите внимание, даже закон о гос. тайне не дает разрешения на чтение личной переписки. Технические требования по защите гос. тайны исключают возможность отправки секретного документа по открытой электронной почте, но не более того. Закон о коммерческой тайне явным образом запрещает нарушать права работника (статья 10): "Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты ... прав и законных интересов других лиц".

          Так что право и обязанност защищать конфиденциальную информацию у бенков есть, но право нарушать тайну личной перепитски законы им при этом не дают

          3. "Таким образом, организация получает право собственности на электронный документТаким образом, организация получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять, архивировать, анализировать на предмет наличия конфиденциальных данных."

          Не получает. Организауия может получить только имущественные права, причем только на те письма, которые написаны в соответствии со служебными обязаностями сотрудника. Все остальные права (включая право на обнародование) остается за автором письма.

          Так что просмотр личной переписки, как и запрет на личную переписку, являются нарушением федерального законодательства. Другое дело, что никакого наказания за это не предусмотрено.

          Так что не бросайтесь выполнять все рекомендации, которые прочтете в инете

          Комментарий


          • #6
            Сообщение от box_roller Посмотреть сообщение
            [i]Если попадется что то личное, то типа извиняйте что копались в вашей почте, но мы предупреждали. Со всеми правилами сотрудники ознакомлены под роспись.
            "Предупредив" пользователя о том, что вы нарушите тайну личной переписки, вы, фактически, официально признаете, что осуществляете деятельность с нарушением федерального законодательства. Как мы помним, это готовое основание для того, чтобы применить против вас санкции - вплоть до приостановки вашей деятельности.

            Так что если вы проверяете почту, лучше делать это негласно

            Комментарий


            • #7
              Так что просмотр личной переписки, как и запрет на личную переписку, являются нарушением федерального законодательства
              Почему работодатель не может запретить личную переписку?
              Работодатель вообще может не давать прав на доступ в почтовую систему.. почему же он не может запретить сотрудникам работать на рабочем месте, а не писать мемуары жене?
              Но обратите внимание, даже закон о гос. тайне не дает разрешения на чтение личной переписки
              Корпоративный почтовый ящик должен использоваться только для служебных целей, так должно быть прописано в правилах и этим все сказано
              Честно говоря я сомневаюсь в это..

              Комментарий


              • #8
                malotavr
                Коллега, а если запрет на использование служебных ресурсов в личных целях сформулировать явно?Ведь работодатель имеет полное право требовать, чтобы работник на рабочем месте именно выполнял свои должностные обязанности, а не писал креативов с претензией на аффтарское право...
                Всё в наших руках...(с)

                Комментарий


                • #9
                  "Предупредив" пользователя о том, что вы нарушите тайну личной переписки, вы, фактически, официально признаете, что осуществляете деятельность с нарушением федерального законодательства. Как мы помним, это готовое основание для того, чтобы применить против вас санкции - вплоть до приостановки вашей деятельности.
                  Данное предупреждение следует после запрета на использование ящиков и других ресурсов для обработки личной информации.
                  Личной информации быть не должно, только рабочая.
                  А предупреждение о мониторинге, уже касается только разрешенной информации, т.е. рабочей.

                  Комментарий


                  • #10
                    Сообщение от Пух575 Посмотреть сообщение
                    malotavr
                    Коллега, а если запрет на использование служебных ресурсов в личных целях сформулировать явно?Ведь работодатель имеет полное право требовать, чтобы работник на рабочем месте именно выполнял свои должностные обязанности, а не писал креативов с претензией на аффтарское право...
                    именно явно
                    Всё что создано внутри организации - принадлежит организации.
                    Обработка и хранение личной информации - запрещается.
                    Подпись сотрудника об ознакомлении прилагается.

                    Комментарий


                    • #11
                      Сообщение от Пух575 Посмотреть сообщение
                      malotavr
                      Коллега, а если запрет на использование служебных ресурсов в личных целях сформулировать явно?Ведь работодатель имеет полное право требовать, чтобы работник на рабочем месте именно выполнял свои должностные обязанности, а не писал креативов с претензией на аффтарское право...
                      Запрет сформулировать несложно, проблема не в этом.

                      Статья 23 Конгституции:
                      а) Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
                      б) Ограничение этого права допускается только на основании судебного решения.

                      Пункт а) говорит о том, что ЛЮБАЯ (служебная она или нет, бумажная или электронная) переписка неприкосновенна. Пункт б) говорит о том, что локальные нормативные актиы не могут нарушать неприкосновенность этой переписки

                      Вы можете запретить личную переписку, но вы не можете этот запрет реализовать. Для того, чтобы отличить личное от служебного его надо прочитать, а читать нельзя

                      Вы можете включить в текст договора пункты, ограничивающие эти права и брать с работников подписки. Но в случае судебного разьирательства эти пункты договора скорее всего будут признаны юридически ничтожными.

                      Комментарий


                      • #12
                        Но в случае судебного разьирательства эти пункты договора скорее всего будут признаны юридически ничтожными.

                        Интересно, были ли прецеденты?
                        А так, что на кофейной гуще гадать

                        Комментарий


                        • #13
                          Сообщение от box_roller Посмотреть сообщение
                          Всё что создано внутри организации - принадлежит организации.
                          Неверно - организации принадлежат только исключительные имущественные права на произведения, созданные работниками в соответствии со служебными обязаностями или служебным заданием. Личные неимущественные права, включая, например, право на обнародование, принадлежит работнику. Федеральные законы могут ограничивать это право, локальные нормативные акты - нет. Теоретически вы можете распространить на переписку режим коммерческой тайны, но я не представляю, как вы это сделаете.

                          Сообщение от box_roller Посмотреть сообщение
                          Обработка и хранение личной информации - запрещается.
                          Подпись сотрудника об ознакомлении прилагается.
                          Запретить использование служебных ресурсов в личных целях можно. Но право на досмотр почты этот запрет не дает

                          Комментарий


                          • #14
                            Сообщение от box_roller Посмотреть сообщение
                            Но в случае судебного разьирательства эти пункты договора скорее всего будут признаны юридически ничтожными.

                            Интересно, были ли прецеденты?
                            А так, что на кофейной гуще гадать
                            Прецедентов, когда оспаривался просмотр переписки, естественно, не было. Здесь нет материального ущерба, а связываться с моральным ущербом гражданам неохота.

                            Прецеденты, когда оспаривались авторские права, были. Лично мне работодатель пытался запретить публикацию статей на основании пункта договора о том, что "информация, созланная с использованием оборудования работодателя, является собственностью работодателя". Урегулировали в досудебном порядке - переподписали трудовой договор, убрав из него этот пункт.

                            Комментарий


                            • #15
                              2malotavr А где ваши статьи можно почитать?
                              Кстати могли бы и не убирать подобный пункт - вы ведь говорите что он ничтожен

                              Комментарий


                              • #16
                                Сообщение от barmalei Посмотреть сообщение
                                2malotavr А где ваши статьи можно почитать?
                                Они не на ту тематику
                                Однов время нужно было диссер писать, вот и публиковал некоторые результаты НИРов в трудах конференций

                                Сообщение от barmalei Посмотреть сообщение
                                Кстати могли бы и не убирать подобный пункт - вы ведь говорите что он ничтожен
                                Дык, юристы работодателя - тоже людти разумные, зачем в договоре оставлять неработающий запрет

                                Комментарий


                                • #17
                                  Едем с самого начала.
                                  Статья 23 Конгституции:
                                  а) Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
                                  б) Ограничение этого права допускается только на основании судебного решения.
                                  Здесь написано имеет право, я думаю это ключевое слово, а вот воспользовался он этим правом или нет - документально не зафиксированно - значит нет
                                  В инструкциях написано, что все создаваемое в пределах сети - являеться собственностью организации. И личная переписка - запрещенна нормативно. Собственник информации - организация, на почтовом сервере, храниться только рабочая информация - ничего не нарушается.

                                  Письмо, в том числе и электронное, может являеться литературным произведением, а следовательно - объектом авторского права. Для этого достаточно поставить копирайт в соответстви со статьей 9 "Об авторском и смежных правах".
                                  Я уверен, что таких работником очень и очень мало.
                                  Т.е. письмо уже не охраняеться законом об авторском праве, без копирайта.

                                  Комментарий


                                  • #18
                                    Вы меня не поняли. Мне трижды наплевать, имеет ли работник возможность воспользоваться своим правом или нет. Я нахожусь на стороне безопасников и забочусь, в частности, о том, чтобы принимаемые ими меры не противоречили законодательству.

                                    Законодательство явным образом запрещает ограничивать права и законные интересы сотрудника, в частности, право на тайну переписки. Если вы в ключите в трудовой договор или локальные нормативные документы подобный пункт, вы тем самым признаете, что нарушаете федеральное законодательство. Так что, если просматривать переписку, то стоит делать это негласно.

                                    Аналогично, дело не в том, является письмо копирайтом или нет. Закон предоставляет работнику право поставить в письме копирайт, сделав его объектом авторского права. Включив в трудовой договор пункт о том, что все. созданное на рабочем месте, является собственностью организации, вы ограничите это право, а значит, сделаете этот пункт договора юридически ничтожным.

                                    Комментарий


                                    • #19
                                      Есть некоторые специальности, которые подразумевают какие то ограничения для работника. К примеру работник, работающий с гос.тайной, может быть ограничен к выездам за границу. И этот работник, оформляясь в отделе кадров, прямо об этом предупреждается и соглашается (если хочет работать по данной специальности) с такими ограничениями. Поэтому в банках, при оформлении на работу сотрудников, надо грамотно подойти к этому вопросу. Необходимо, на мой взгляд, чтобы работник не только знал об ограничениях с почтой, но и согласился с этими ограничениями. Тогда никакого нарушения законодательства не будет.

                                      Комментарий


                                      • #20
                                        Товарищи, если посмотреть с другой стороны.
                                        Стоит автоматизированная система заточенная на предотвращение утечек через почту. В системе возникает инцидент при подозрении на то что сотрудник сливает инфу, если на основании инцидента проссматривать конкретное письмо - это тоже будет считаться нарушение тайны переписки?

                                        Комментарий


                                        • #21
                                          barmalei
                                          Не знаю, что по этому поводу скажет коллега malotavr, но мне думается, что с юридической точки зрения это тоже будет считаться нарушением тайны переписки, как бы нам ни хотелось обратного...
                                          Всё в наших руках...(с)

                                          Комментарий


                                          • #22
                                            Я думаю обратное - ибо ИнфоВатч и прочие - тогда бы просто не существовали

                                            Комментарий


                                            • #23
                                              Законодательство явным образом запрещает ограничивать права и законные интересы сотрудника, в частности, право на тайну переписки.

                                              Какая может быть тайная личная переписка на работе и в рабочее время?

                                              Закон предоставляет работнику право поставить в письме копирайт, сделав его объектом авторского права. Включив в трудовой договор пункт о том, что все. созданное на рабочем месте, является собственностью организации, вы ограничите это право, а значит, сделаете этот пункт договора юридически ничтожным.

                                              Может я читал закон не в той редакции? Что, если на произведении не стоит копирайт, то оно уже не признается объектом авторского права? Впрочем, большинство писем, за редким исключением, вряд ли попадают в категорию произведений и применять в их отношении авторское право не корректно. По закону (с некоторыми оговорками) исключительное право на использование авторских произведений, созданных на рабочем месте, итак принадлежит работодателю. Авторское право при этом остается за автором.

                                              Посему, может кто прояснит в чем состоит предмет обсуждения? Ведь нормальная организация не только имеет право, но и обязана мониторить свои системы и информационные потоки.

                                              Комментарий


                                              • #24
                                                Сообщение от Stnslav Посмотреть сообщение
                                                Есть некоторые специальности, которые подразумевают какие то ограничения для работника. К примеру работник, работающий с гос.тайной, может быть ограничен к выездам за границу. И этот работник, оформляясь в отделе кадров, прямо об этом предупреждается и соглашается (если хочет работать по данной специальности) с такими ограничениями. Поэтому в банках, при оформлении на работу сотрудников, надо грамотно подойти к этому вопросу. Необходимо, на мой взгляд, чтобы работник не только знал об ограничениях с почтой, но и согласился с этими ограничениями. Тогда никакого нарушения законодательства не будет.
                                                Не совсем. В Трудовом Кодексе, опять таки, прямо прописано, что трудовой договор и локальные нормативные акты не могут ухудшать уровень прав работника по сравнению с уровнем, установленным федеральным законодательством. В случае с гос.тайной работника предупреждают об ограничениях, установленных федеральным законом. В этом случае, действительно, никакого нарушения нет.

                                                А что касается согласия работника, то здась работает приоритет федерального законодательства над договоренностями. Я согласился, потом передумал - и закон на моей стороне. Именно на этом основании работники выигрывают в судах большинство трудовых споров.

                                                Комментарий


                                                • #25
                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Законодательство явным образом запрещает ограничивать права и законные интересы сотрудника, в частности, право на тайну переписки.

                                                  Какая может быть тайная личная переписка на работе и в рабочее время?
                                                  У работника в рабочее время на рабочем месте есть переписка? Есть. Вот она и тайная. А личная она или нет - как вы, не нарушая тайну переписки, определите? Статья 23 Конституции не делает разницы между личной и служебной перепиской.

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Может я читал закон не в той редакции?
                                                  Давайте посмотрим. Я цитирую Закон РФ от 9 июля 1993 г. N 5351-I "Об авторском праве и смежных правах" с изменениями от 19 июля 1995 г., 20 июля 2004 г., утрачивает силу 1 января 2008 года

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Что, если на произведении не стоит копирайт, то оно уже не признается объектом авторского права?
                                                  Признается, просто если я не поставил копирайт, я не уведомил работодателя о том, что заявляю свое авторство.

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Впрочем, большинство писем, за редким исключением, вряд ли попадают в категорию произведений и применять в их отношении авторское право не корректно.
                                                  П. 1 статьи 9 закона:
                                                  "Авторское право на произведение науки, литературы и искусства возникает в силу факта его создания. Для возникновения и осуществления авторского права не требуется ... соблюдения каких-либо формальностей."

                                                  Я написал письмо и считаю его произведением литературы. Поскольку от меня не требуется соблюдения каких-либо формальностей, я не должен доказывать, что оно является произведением искусства и представляет какую-либо художественную ценность.

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  По закону (с некоторыми оговорками) исключительное право на использование авторских произведений, созданных на рабочем месте, итак принадлежит работодателю. Авторское право при этом остается за автором.
                                                  Совершенно верно.

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Посему, может кто прояснит в чем состоит предмет обсуждения?
                                                  Обсуждается интервью с Денисом Зенкиным, который утверждает что работодатель вправе, защищая свои интересы, читать переписку работников. При этом он ссылается на то, что а) работодатель является обладателем всего, что создал работник и б) вправе устанавливать те меры защиты, которые сочтет нужным. Для того, чтобы формально стать обладателем, работодателю предлагается в) включать в договор обязанность работника передать все созданное им, работодателю.

                                                  Я утверждаю, что это неверно.

                                                  Пункт в) противоречит закону об авторском праве - на все, созданное работником вне служебных обязанностей (пусть даже и в нарушение установленных работодателем правил) распространяются его исключительные личные и имущественные права (включая право не передавать работодателю). Соответственно, в договоре этот пункт будет юридически ничтожным.

                                                  Пункт а) противоречит закону "Об информации, информационных технологиях и защите информации" - обладателем инфолрмации, не являющейся коммерческой тайной работодателя, является работник.

                                                  Что касается пункта б), закон, на который Зенкин ссылается, ограничивает права работодателя: он обязан соблюдать права и законные интересы работника, включая право на тайну переписки.

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Ведь нормальная организация не только имеет право, но и обязана мониторить свои системы и информационные потоки.
                                                  При условии, что средства мониторинга информационных потоков не нарушают "права и законные интересы иных лиц" ("Об информации, информационных технологиях и защите информации", п. 4 сстатьи 6 ).
                                                  Последний раз редактировалось malotavr; 18.10.2007, 18:38.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от barmalei Посмотреть сообщение
                                                    В системе возникает инцидент при подозрении на то что сотрудник сливает инфу, если на основании инцидента проссматривать конкретное письмо - это тоже будет считаться нарушение тайны переписки?
                                                    Конечно. Вы ведь не получили судебного решения на просмотр этого письма?

                                                    Есть маленький хинт, им пользуются европейские банки. В правила пользования корпоративной почтой включается пункт о том, пользователь поручает банку, защищая интересы самого пользователя, проверять отправляемые сообщения на предмет наличия нелегального контента (зловредного кода, детской порнографии, и т.д.) - а то вдруг пользователь случайно под уголовную статью попадет. На основании этого поручения служба безопасности сообщения и просматривает.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от barmalei Посмотреть сообщение
                                                      Я думаю обратное - ибо ИнфоВатч и прочие - тогда бы просто не существовали
                                                      Почему? Они продают продукцию и услуги. А покупателя часто не волнует, насколько законно он пользуется этой продукцией. Тем более, что никто его не накажет.

                                                      Комментарий


                                                      • #28
                                                        2malotavr - Присоединяюсь к коллегам и хором благодарим
                                                        Только как в этом случае быть с Конституцией?

                                                        Комментарий


                                                        • #29
                                                          Я не уверен, что это будет работать у нас. В любом случае будет ограничение, какие цели можно преследовать при такой договоренности, а какие - нет. Это уже вопрос к квалифицированному юристу.

                                                          Комментарий


                                                          • #30
                                                            Тут очень интересный момент получаеться - весь сыр бор начался с Конституции - и законным методом ее обойти не получиться, ибо Тайна переписки.

                                                            2malotavr Вы говорили
                                                            "Предупредив" пользователя о том, что вы нарушите тайну личной переписки, вы, фактически, официально признаете, что осуществляете деятельность с нарушением федерального законодательства. Как мы помним, это готовое основание для того, чтобы применить против вас санкции - вплоть до приостановки вашей деятельности.
                                                            Из этого следует что в нормативные документы не следует включать
                                                            Есть маленький хинт, им пользуются европейские банки. В правила пользования корпоративной почтой включается пункт о том, пользователь поручает банку, защищая интересы самого пользователя, проверять отправляемые сообщения на предмет наличия нелегального контента (зловредного кода, детской порнографии, и т.д.) - а то вдруг пользователь случайно под уголовную статью попадет. На основании этого поручения служба безопасности сообщения и просматривает.
                                                            Как же нам остается быть - только в черную контроллировать и помалкивать, а если возникнет инцидент, ждать решение суда.
                                                            хм...

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X