18 октября, четверг 08:43
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Статья: "Легитимна ли перлюстрация электронной почты на предприятии"// А. Лукацкий

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Статья: "Легитимна ли перлюстрация электронной почты на предприятии"// А. Лукацкий

    Вышла очередная публикация от Алексея Лукацкого !!!

    Ознакомится можно здесь:
    Часть 1 - http://bankir.ru/analytics/infosec/480/141255
    Часть 2 - http://bankir.ru/analytics/infosec/480/141757
    Последний раз редактировалось box_roller; 24.07.2008, 10:20.

  • #2
    Отлично. Согласен. Лукацкий - молодец

    Комментарий


    • #3
      я тоже поддержу !

      Комментарий


      • #4
        Хорошо излагает! :-)
        Ждём продолжения.
        Тогда можно будет и подискутировать...

        Комментарий


        • #5
          Остановился на самом интересном...

          Комментарий


          • #6
            Ждём продолжения...
            Всё в наших руках...(с)

            Комментарий


            • #7
              Да собственно ничего нового там нет ;-) Просто систематизировал и собрал воедино всю разрозненную информацию по данной теме.

              Комментарий


              • #8
                Сообщение от Алексей Лукацкий Посмотреть сообщение
                Да собственно ничего нового там нет ;-) Просто систематизировал и собрал воедино всю разрозненную информацию по данной теме.
                В этом и ценность

                Комментарий


                • #9
                  Чтобы не создавать новую тему - напишу здесь.

                  Пришла в голову мысль, как «узаконить» это дело. Что если обязать подписывать сотрудников, так же, как и обязательство о неразглашении конфиденциальной информации, ещё одну бумагу, в которой сотрудник обязуется не использовать корпоративную почту и служебный телефон для передачи личной информации? А ещё и придать этой бумаге статус приложения к трудовому договору.

                  Комментарий


                  • #10
                    Сообщение от Berckut Посмотреть сообщение
                    Что если обязать подписывать сотрудников, так же, как и обязательство о неразглашении конфиденциальной информации, ещё одну бумагу, в которой сотрудник обязуется не использовать корпоративную почту и служебный телефон для передачи личной информации? А ещё и придать этой бумаге статус приложения к трудовому договору.
                    добавить ещё соглашение об отчуждении информации, кода и прочего,
                    и проверить на правомерность и конституционность.

                    Комментарий


                    • #11
                      Сообщение от Berckut Посмотреть сообщение
                      Чтобы не создавать новую тему - напишу здесь.

                      Пришла в голову мысль, как «узаконить» это дело. Что если обязать подписывать сотрудников, так же, как и обязательство о неразглашении конфиденциальной информации, ещё одну бумагу, в которой сотрудник обязуется не использовать корпоративную почту и служебный телефон для передачи личной информации? А ещё и придать этой бумаге статус приложения к трудовому договору.
                      Но ведь в общении участвуют две стороны. Как быть со второй стороной общения? Можно конечно контролировать только исходящий трафик, но все равно, ИМХО, если сотрудник в нарушение "обязательства" пошлет письмо личного характера, то все-таки суд будет на его стороне, т.к. в законах никакого исключения для корпоративных ограничений нет.

                      Комментарий


                      • #12
                        Правы-неправы работодатели, читающие почту сотрудников (даже с их согласия) уже была масса обсуждений. Кто то считает что это можно делать, кто то, что нельзя. К сожалению наше законодательство построено так, что каждый видит в законах то, что хочет. Даже если это незаконно, служба ИБ при необходимости будет смотреть почту. Просто легализовать полученную информацию будет нельзя. а с выявленным инсайдером разберутся по другому. Хотя по здравому смыслу, контроль за корпоративной почтой, притом что ты всем объявил о таком контроле, это вполне нормальное явление.
                        Интересно бы послушать точку зрения (в том числе и их юристов) по этому вопросу производитлей средств такого контроля. Что они скажут относительно законности применения их продуктов.

                        Комментарий


                        • #13
                          Stnslav Интересно бы послушать точку зрения (в том числе и их юристов) по этому вопросу производитлей средств такого контроля

                          Примерно так:
                          - почтовый релей с установленным средством контроля контента является сервисной службой предприятия.
                          - посылая электронное письмо, сотрудник поручает этой сервисной службе проверить это письмо на соответсвие многим параметрам - например, синтаксической правильности адреса получателя и, в частности, на соответствие содержимого корпоративным нормам.
                          - после таковой проверки и (например) исправления письмо запечатывается в электронный конверт и передаётся получателю.

                          Т.е. электронная почта, как и почта бумажная, является собственностью предприятия, несмотря на наличие в электронных письмах user-part или на бумажных конвертах фамилий и должностей, а сотрудникам с указанными user-part предоставляются не услуги связи как таковые, а возможность пользования услугами связи, приобретенными предприятием.

                          Кстати. В некоторых странах действет понятие "непосредственная причина", т.е. если некто сам открыл дверь трансформаторной будки на которой написано "не влезай - убьёт", влез и его таки убило - то виноват он. И если кто прочитал "использование электронной почты допускается только в интересах предприятия для выполнения своих служебных обязанностей", а потом послал личный e-mail и этот e-mail разгласили - то виноват опять же он сам, а не тот, кто разгласил...
                          /kiv

                          Комментарий


                          • #14
                            kreol но все равно, ИМХО, если сотрудник в нарушение "обязательства" пошлет письмо личного характера, то все-таки суд будет на его стороне, т.к. в законах никакого исключения для корпоративных ограничений нет Я здесь на стороне Илюха - по Вашей логике сотрудник может и бумажную личную почту отправить за счет предприятия? И телеграмму за счет предприятия послать?
                            С уважением, Антон

                            Комментарий


                            • #15
                              2 Алексей Лукацкий:
                              1. Предлагаю перестать использовать термин перлюстрация в отношении служб ИБ. Нормальная служба ИБ тайно не просматривает ничью корреспонденцию. А если не тайно, то это уже не перлюстрация. Перлюстрация в контексте обсуждаемой проблемы априори незаконна.
                              2. Пока в статье не затронут следующие вопросы:
                              2.1. что такое «законное согласие отправителя и получателя или их уполномоченных представителей»;
                              2.2. в какой форме должно быть выражено «законное согласие отправителя и получателя или их уполномоченных представителей»;
                              2.3. может ли отправитель и получатель отказаться от «законного согласие отправителя и получателя или их уполномоченных представителей» и потребовать реализации своего конституционного права на основании того, что решения суда не было, следовательно, никто не имел права просматривать его переписку;
                              2.4. Как доказать нарушение тайны переписки? Допустим, нет свидетелей, есть только заявление того, что у меня, мол, электронную почту досматривают.
                              3. Общий комментарий на тему.
                              Например, система корпоративной электронной почты, согласно её назначению (это может быть закреплено во внутреннем регламенте) предназначена для ведения служебной (деловой) переписки от лица компании, а не для личной переписки. Этот канал связи создан компанией и не является естественным общедоступным каналом связи. Канал предоставляется исключительно для служебных целей.
                              С другой стороны понятия "служебная (деловая) переписка" в законах нет, посему как бы вы не назвали переписку деловая, служебная и т.п. она от этого какой-то другой не станет и будет защищена согласно статье в конституции.
                              Так же тайна переписки является неотчуждаемым правом (ч.2 ст. 17 Конституции РФ), то есть, человека нельзя лишить этого права, и он не может добровольно отказаться от этого права.
                              Гражданин, может использовать этот канал для передачи личных сообщений, и ожидать согласно своим конституционным правам, что тайна его сообщений не будет нарушена.
                              С другой стороны компания создавала этот канал связи не для передачи личных сообщений гражданина, и ему об этом было открыто заявлено.
                              Здесь вопрос: является ли создание системы корпоративной почты и главное установление правил для этой системы запрещающих использовать её для передачи личных сообщений и контроль за содержанием сообщений ограничением на тайну переписки?
                              Опять же, посылая личное сообщение по такому каналу связи, гражданин нарушает всего лишь внутренний нормативный акт компании.
                              Компания же досмотрев такое сообщение, исходя из духа Конституции, производит в лице своего сотрудника нарушение конституционного права гражданина и должна понести ответственность по УК.
                              С другой стороны, что есть ограничение? Ограничение, это когда у тебя нет выбора, когда тебя перлюстрируют (тайно не спрашивая твоего согласия, досматривают твои сообщения), например, во время ОРМ. Для этого в законах есть соответствующие процедуры по ограничению. По ограничению со стороны государства! Со стороны прочих лиц такой возможности нет.
                              Если же тебе явно указали правила работы системы передачи сообщений, ознакомили с тем, что все сообщения в системе корпоративной электронной почты контролируются, архивируются, что в системе корпоративной электронной почты не должно быть твоих личных сообщений (т.к. это не открытый естественный канал связи), и что если таковые там появятся в любых целях, то риск ознакомления с содержанием этих сообщений полностью принимается, т.к. это тоже самое, что на заборе написать сообщение, и требовать от прохожих соблюдения своего права на тайну иных сообщений.
                              Но по идее раскрытие информации, личного характера полученной из досмотренного сообщения, ИМХО, уже будет преступлением.
                              А ещё по свой природе классическая система электронной почты POP3/SMTP без наворотов, не позволяет так же как обычное почтовое сообщение закрыть и запечатать конверт.
                              Вот хочешь закрыть и опечатать конверт, используй SMIME/PGP, тогда, хоть сколько отправляй (но такие сообщения можно просто удалять и никуда не отправлять, если компанию беспокоит их содержание).
                              Ещё момент, никто никого не просит отказываться от права на тайну переписки, гражданина ставят перед фактом, что канал передачи сообщений организован таким образом, что с содержанием сообщения может быть ознакомлен ответственный сотрудник компании. Посему, когда этот канал используется, человеком как гражданином, не в целях компании, то он допустил халатность и не может апеллировать в этом случае к Конституции.
                              Но до конца я пока аргументировано, не могу эту точку зрения обосновать. ;-(

                              Комментарий


                              • #16
                                2 Demin:
                                Более того, сотрудник может вынести с предприятия всё, что угодно, запечатав в пакет курьерской службы и написав там адресную информацию. ;-)

                                Комментарий


                                • #17
                                  Zuz Да, я не вполне корректно выразился. Может, но:
                                  - имеет ли он на это право?
                                  - учитывая то, что он подписал документы о неразглашении коммерческой/банковской/ПД тайны?
                                  С уважением, Антон

                                  Комментарий


                                  • #18
                                    Мне кажется, в Конституции речь идёт о государственной почтовой службе. И тайну переписки должны обеспечивать государственные почтовые служащие. Иначе, по аналогии с понятием "взятка" - нет должностных лиц, нет и взятки...
                                    Последний раз редактировалось SNAK; 23.07.2008, 11:30.

                                    Комментарий


                                    • #19
                                      Сообщение от Demin Посмотреть сообщение
                                      kreol но все равно, ИМХО, если сотрудник в нарушение "обязательства" пошлет письмо личного характера, то все-таки суд будет на его стороне, т.к. в законах никакого исключения для корпоративных ограничений нет Я здесь на стороне Илюха - по Вашей логике сотрудник может и бумажную личную почту отправить за счет предприятия? И телеграмму за счет предприятия послать?
                                      я бы не стал такую прямую аналогию проводить, технологии и возможности немного разные, в том числе это касается и контроля.
                                      А бумажный может, почему нет, если он наделен соответствующими полномочиями? Поэтому у нас вот, например, отправкой бумажных документов занимается отдел в делопроизводстве, куда приносишь документы с описью вложения и визой непосредственного руководителя. К сожалению, в системе электронной почты сделать подобное проблематичнее

                                      Комментарий


                                      • #20
                                        Коллеги,
                                        вы комментируете два слабо связанных вопроса:
                                        - можно ли запретить личную переписку
                                        - можно ли просматривать служебную переписку

                                        Организация вправе запретить нецелевое использование своих ресурсов, не вопрос. Другое дело, что при реализации этого запрета она не должна нарушать законных прав сотрудников (в том числе и право на тайну личной жизни).

                                        Комментарий


                                        • #21
                                          Stnslav Интересно бы послушать точку зрения (в том числе и их юристов) по этому вопросу производитлей средств такого контроля. Что они скажут относительно законности применения их продуктов.

                                          Они согласны ;-) Ведь продавать-то не запрещено. Вопрос с правомерностью применения доказательств ими собранных. А это уже не задача вендора.

                                          Комментарий


                                          • #22
                                            Berckut обязать подписывать сотрудников...бумагу, в которой сотрудник обязуется не использовать корпоративную почту и служебный телефон для передачи личной информации?

                                            В статье это есть (во второй части) ;-) Ждите...

                                            Комментарий


                                            • #23
                                              SNAK Мне кажется, в Конституции речь идёт о государственной почтовой службе

                                              Конституция рассматривает права гражданина без привязки к тому, по какому каналу он занимается перепиской

                                              Комментарий


                                              • #24
                                                Гораздо более эмоциональное обсуждение идет под самой статьей ;-) Видимо там собрались просто банкиры, которым не нравится, что их ограничивают в праве контроля своих работников ;-)

                                                Комментарий


                                                • #25
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  SNAK Мне кажется, в Конституции речь идёт о государственной почтовой службе

                                                  Конституция рассматривает права гражданина без привязки к тому, по какому каналу он занимается перепиской
                                                  Конечно, но чтобы переписка состоялась, кроме отправителя и получателя необходим транспортный уровень - почтальон. Чтобы нести ответственность он должен быть должностным лицом. А иначе - Ваня передал Ане через Колю записку, а МарьВанна её отобрала. Это криминал?

                                                  Комментарий


                                                  • #26
                                                    SNAK Конечно, но чтобы переписка состоялась, кроме отправителя и получателя необходим транспортный уровень - почтальон. Чтобы нести ответственность он должен быть должностным лицом.

                                                    Почтальон - это закон "О связи", который частично определяет вопросы тайны переписки. А вот в корпоративной среде такого закона нет - отсюда и все сложности.

                                                    А иначе - Ваня передал Ане через Колю записку, а МарьВанна её отобрала. Это криминал?

                                                    С точки зрения закона? Почему нет? Налицо все признаки. Только вот школьники в суд не будут подавать, как и их родители - им еще учится и учится.

                                                    Комментарий


                                                    • #27
                                                      Ок, подождём второй части статьи.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от malotavr Посмотреть сообщение
                                                        Коллеги,
                                                        вы комментируете два слабо связанных вопроса:
                                                        - можно ли запретить личную переписку
                                                        - можно ли просматривать служебную переписку

                                                        Организация вправе запретить нецелевое использование своих ресурсов, не вопрос. Другое дело, что при реализации этого запрета она не должна нарушать законных прав сотрудников (в том числе и право на тайну личной жизни).
                                                        Ну почему же не связанных? «нарушение тайны переписки … заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит». В одном случае информация принадлежит работодателю, в другом - частному лицу. В случае электронной почты эти два вида информации могут смешиваться...ИМХО

                                                        Комментарий


                                                        • #29
                                                          kreol В одном случае информация принадлежит работодателю

                                                          Служебная переписка та, которая создана в рамках служебных обязанностей или по служебному заданию. Личное письмо таковым не является по определению. Поэтому ваше личное письмо не может трактоваться как служебное. А закономерное желание работодателя считать своей собственностью все, что на создано на принадлежащих ему средствах вычислительной техники, блокируется ст.1227 Гражданского Кодекса, которая специально разносит эти понятия.

                                                          ЗЫ. Дождитесь второй части...

                                                          Комментарий


                                                          • #30
                                                            Сообщение от kreol Посмотреть сообщение
                                                            Ну почему же не связанных? «нарушение тайны переписки … заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит». В одном случае информация принадлежит работодателю, в другом - частному лицу. В случае электронной почты эти два вида информации могут смешиваться...ИМХО
                                                            Комментарий к УК - вещь хорошая, но не всегда юридически корректная В отношении информации нет глагола "принадлежать", есть только глагол "обладать". И тут есть два интересных момента.

                                                            1. Из того, что письмо прошло по корпоративной почте, не следует автоматически, что работодатель стал обладателем содержащейся в письме информации. Для того, чтобы он стал одним из обладателей, должен существовать договор, на основании которого работодатель получит право разрешать или ограничивать доступ к информации, содержащейся в письме (см. определение обладателя информации в трехглавом законе). Но даже такой договор может касаться только исходящей корреспонденции.

                                                            2. Даже став обладателем информации, содержащейся в исходящих письмах, работодатель не вправе нарушать законодательство (часть 4 статьи 6 трехглавого закона).

                                                            Статья 23 Конституции отдельно оговаривает тайну переписки. Если бы статья звучала как "право на неприкосновенность ... личной и семейной тайны ..., в том числе на тайну переписки", ваш довод был бы справедлив. Но тайна переписки вынесена в отдельную часть статьи, и такм нет разделения на личную и деловую пер

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X