Читать или не читать? Перлюстрация корпоративной электронной почты::Журнал СА 6.2011
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6227
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6933
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4216
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3006
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3807
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3822
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6316
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3170
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3460
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7278
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12365
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13999
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9124
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5388
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3427
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3155
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3026
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Читать или не читать? Перлюстрация корпоративной электронной почты

Архив номеров / 2011 / Выпуск №6 (103) / Читать или не читать? Перлюстрация корпоративной электронной почты

Рубрика: Закон есть закон

Антон Стружков АНТОН СТРУЖКОВ, генеральный директор ООО «Юридический Центр «Глосса»

Читать или не читать?
Перлюстрация корпоративной электронной почты

Не секрет, что во многих компаниях корпоративная электронная почта подвергается перлюстрации – просмотру без ведома отправителя и адресата. Непосредственным исполнителем подобных действий является, как правило, системный администратор, которого не может не волновать вопрос собственной ответственности

Инициатором такой проверки может выступать как непосредственный руководитель организации (в небольших компаниях), так и служба безопасности (в больших компаниях). Работодатель оправдывает такие действия необходимостью соблюдения режима коммерческой тайны или выявления нелояльных компании сотрудников.

Для начала попробуем разобраться в законности подобных действий вообще. Какие нормы закона защищают тайну переписки, и чем она может быть ограничена?

Прежде всего это ч.2 ст.23 Конституции РФ, которая говорит о том, что каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Тайну переписки также гарантирует п.1 ст.63 Федерального закона от 07.07.2003 №126-ФЗ «О связи», конкретизируя, что данная гарантия распространяется в том числе и на сообщения, передаваемые по сетям электросвязи и сетям почтовой связи.

Этот же пункт уточняет, что ограничение права на тайну переписки допускается только в случаях, предусмотренных федеральными законами. Ограничения такого рода установлены в следующих случаях:

  • введение военного положения (п.15 ст.7 Федерального конституционного закона от 30.01.2002 №1-ФКЗ «О военном положении»);
  • контртеррористическая операция (п.4 ст.11 Федерального закона от 06.03.2006 №35-ФЗ «О противодействии терроризму»);
  • контрразведывательные мероприятия (ст.9 Федерального закона от 03.04.1995 №40-ФЗ «О Федеральной службе безопасности»);
  • расследование уголовного дела (ст.13 Уголовно-процессуального кодекса РФ);
  • оперативно-розыскная деятельность (ст.6 Федерального закона от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»).

Как видно, необходимость соблюдения режима коммерческой тайны и выявление нелояльных компании сотрудников не относятся к случаю, когда гарантия тайны переписки может быть нарушена.

Соответственно единственное, что может ограничить право на тайну переписки, – судебное решение, которое в данном случае не может быть вынесено.

На практике достаточно спорным можно назвать вопрос о том, является ли явная перлюстрация, т.е. перлюстрация, о которой сотрудник заранее извещен, нарушением тайны переписки. С одной стороны, заблаговременное извещение сотрудника или получение его согласия на перлюстрацию корпоративной электронной почты явно дает ему понять, что это не тот канал информации, по которому стоит вести личную переписку.

С другой стороны, гарантия тайны переписки, установленная ч.2 ст.23 Конституции РФ, носит императивный характер, т.е. не может быть изменена ни соглашением между работодателем и работником, ни заблаговременным предупреждением работника о перлюстрации. Кроме того, нельзя быть убежденным в том, что даже предупрежденный о перлюстрации работник не получит по почте письмо, содержащее данные личного характера, защита тайны которых гарантируется.

Ответственность за нарушение тайны переписки предусмотрена ст.138 Уголовного кодекса РФ. Часть 1 этой статьи не предусматривает наказания в виде лишения свободы. Штраф за простое нарушение тайны переписки может составить до 80 000 рублей или в размере заработной платы за срок до шести месяцев. Кроме того, санкция этой нормы предусматривает ответственность в виде обязательных и исправительных работ, которые в настоящий момент практически не применяются.

Часть 2 этой же статьи предусматривает ответственность за нарушение тайны переписки, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации. Такой состав в уголовно-правовых терминах именуется «квалифицированным», т.е. включающим в себя признаки, отягчающие ответственность. Соответственно и санкция за такое преступление серьезнее: лишение свободы на срок до четырех лет или штраф от 100 000 до 300 000 рублей.

Кроме того, часть 3 этой же статьи предусматривает ответственность за незаконные производство, сбыт или приобретение специальных технических средств, предназначенных для негласного получения информации. Наказание за такое преступление в виде лишения свободы может составить до трех лет.

Следует отдельно отметить, что ситуация, в которой нарушение тайны переписки происходит путем выдачи соответствующего распоряжения руководителем или службой безопасности компании системному администратору с дальнейшим совершением администратором соответствующих действий, квалифицируется уголовным законодательством как соучастие. В соответствии со ст.32 УК РФ под соучастием понимается умышленное совместное участие двух или более лиц в совершении умышленного преступления.

В случае если у руководителя, выдающего распоряжение, и у системного администратора имеется одинаковый умысел, направленный на нарушение тайны переписки, то роль руководителя именуется как «организатор преступления», а роль системного администратора именуется как «исполнитель преступления».

Очевидно, что в случае привлечения системного администратора к уголовной ответственности за нарушение тайны переписки, одновременно с ним должно быть привлечено лицо, которое в явном и однозначном виде потребовало от системного администратора совершения соответствующих действий.

С учетом вышесказанного системный администратор, получивший распоряжение о проверке корпоративной почты сотрудников компании, может попытаться обезопасить себя следующими инструментами:

  • Обязательно убедиться в том, что почтовый ящик сотрудника, почту с которого требуется перлюстрировать, не является его личным ящиком.
  • Убедиться в том, что о перлюстрации корпоративной электронной почты предупреждены работники, чья переписка будет просматриваться. Соответствующее предупреждение может быть выражено в отдельном документе (с которым можно попросить ознакомиться и по возможности снять копию), в тексте трудового договора или в локальном нормативном акте (о содержании которого работники должны быть осведомлены – с распиской об ознакомлении также стоит ознакомиться).
  • Получить от лица, дающего распоряжение на перлюстрацию, письменное подтверждение о выдаче такого распоряжения, содержащее информацию о том, переписку с какого почтового ящика и за какой период необходимо перлюстрировать, за кем из работников закреплен этот почтовый ящик, извещен ли данный работник о том, что корпоративная почта подлежит просмотру, и о запрете использовать ее для личных нужд, с подписью лица, выдающего такое распоряжение, и расшифровкой подписи. Данный документ в дальнейшем позволит доказать, что перлюстрация не производилась системным администратором по собственной инициативе и не имела своей целью нарушение тайны переписки.
  • Желательно составление отчета и предоставление его лицу, выдавшему распоряжение о перлюстрации, из содержания которого следует, какие именно письма были перлюстрированы, и что именно обнаружилось при перлюстрации. Отчет должен быть передан лицу, выдавшему распоряжение о перлюстрации, под расписку (например, составлен в двух экземплярах, на одном из которых проставляется отметка о получении – этот экземпляр остается на руках у системного администратора).

Письменное распоряжение может выглядеть следующим образом:

«Распоряжение.

В целях реализации режима коммерческой тайны, действующей в ______________ , осуществить проверку входящей и исходящей корпоративной электронной почты за пе-риод с «___»______20___г. по «___»______20___г. по следующим адресам электронной почты:

______@_______.__ (почтовый ящик закреплен за ___________________);

______@_______.__ (почтовый ящик закреплен за ___________________);

______@_______.__ (почтовый ящик закреплен за ___________________).

Вышеуказанные лица предупреждены о возможности проверки корпоративной электронной почты посредством ____________________________________.

Обязанность по выполнению настоящего распоряжения возложить на _____________________.

Отчет о произведенных проверочных мероприятиях представить не позднее «___»________20____г.

Число, подпись, расшифровка подписи».

Таким образом, следует констатировать, что перлюстрация корпоративной электронной почты в любом случае незаконна, если отсутствует предупреждение работника об этом. Лица, виновные в нарушении тайны переписки, могут быть привлечены к ответственности.

Предупреждение работника о перлюстрации, оформленное в виде отдельного документа с подписью работника, включенное в текст трудового договора или приложения к нему либо явно выраженное в правилах трудового распорядка или ином локальном нормативном акте (как правило, совместно с запретом на использование корпоративной почты в личных целях), в некотором смысле снимает с лиц, осуществивших перлюстрацию, ответственность за нарушение тайны переписки.

Тем не менее данный вопрос до сих пор не нашел однозначного решения ни в законодательстве, ни в судебной практике.


Комментарии
 
  09.06.2011 - 11:09 |  Сергей

Поскольку корпоративная почта предоставляется сотруднику для выполнения его непосредственных обязанностей, о каком нарушении тайны может идти речь? На работе у сотрудника нет ничего "его",кроме кружки и фотографии на рабочем столе. К сожалению есть масса хитрозадых сотрудников, которые пересылают ту или иную конфиденциальную информацию на "личные" ящики (свои или знакомых), а потом пытаются визжать о нарушении тайны переписки. Повторюсь: придя на работу помните: вы зарабатываете деньги для работодателя. Он дал вам орудия труда ( компьютер, интернет, электронную почту, телефон и т.д) которые являются ЕГО собственностью. И он вправе знать, используете ли вы их по назначению, или в СВОИХ, личных целях.

  10.06.2011 - 07:51 |  Гость

"Повторюсь: придя на работу помните: вы зарабатываете деньги для работодателя. Он дал вам орудия труда ( компьютер, интернет, электронную почту, телефон и т.д) которые являются ЕГО собственностью. И он вправе знать, используете ли вы их по назначению, или в СВОИХ, личных целях."

Сергей, Вы не правы. Так можно легко и до крепостного права скатиться. Там тоже помещик давал землю, угодья, которые были ЕГО собственностью...
Если, к примеру, Вам выдают спецодежду, то никто вправе Вас раздеть догола, чтобы проверить, насколько бережно Вы ею пользуетесь. Надеюсь, аналогия понятна.
Не забывайте, что человеку на почтовый ящик может прийти конфиденциальная информация другого плана: восстановление пароля от аккаунта в банк-клиенте и т.д. и т.п. Вправе ли технический специалист или руководство собирать и анализировать подобную информацию?
Другое дело, когда на совершение некоторых действий имеются веские основания. Например, сотрудник постоянно жалуется на то, что почта к нему письма от начальника не доходят, или доходят без вложений, а у начальства и коллег есть подозрения, что человек пытается просто таким образом "откосить" от работы. Тогда да, на лицо явная проблема технического характера и копирование почты с целью анализа наличия тех же вложений - всего лишь один из немногих методов диагностики.
Кстати, любой антиспам, с функцией копирования почты в отдельный каталог уже по сути нарушение тайны переписки. Другое дело, что от антиспама сейчас мало какая организация откажется.

  27.06.2011 - 08:36 |  vchikarin

Позвольте с вами не согласиться.
ч.2 статьи 23 имеет в виду тайну личной переписки, а статья ст.63 126-ФЗ гарантирует неприкосновенность переписки в процессе передачи от отправителя до получателя по каналам связи.
Однако в случае корпоративной электронной почты отправителем является не Иванов Иван Иванович, а сотрудник компании "Рога и Копыта" и соответственно сама компания. Также и получателем является не конкретно Иванов Иван Иванович, а непосредственно сотрудник этой компании.

  27.06.2011 - 08:38 |  vchikarin

Хотя формулировка ч.2 статьи 23 не указывает явно на именно личную переписку, но если рассматривать ее вместе с ч.1, то именно это и имеется в виду.

  27.06.2011 - 11:59 |  Alex

>> Однако в случае корпоративной электронной почты отправителем является не Иванов Иван Иванович, а сотрудник компании "Рога и Копыта" и соответственно сама компания.
Сотрудник компании "Рога и Копыта" Иванов Иван Иванович - это и есть Иванов Иван Иванович. И его ящик i.i.ivanov@roga-i-kopyta.ru - это ЕГО ящик.

В случае, если Иванов Иван Иванович совершит правонарушение с использованием ящика i.i.ivanov@roga-i-kopyta.ru, работая в компании, например, нахамит кому-нибудь, начнет клеветать или призывать к сверженияю государственного строя, то отвечать будет именно, Иванов Иван Иванович на том простом основании, что это был ЕГО ящик, если не доказан факт взлома. Если же ему удается доказать в суде, что к его ящику имел доступ еще кто-то, то ответственность с него может быть переложена на того, кто этот доступ осуществлял и/или предоставлял.

Другое дело, если речь идет о неких ОБЩИХ ящиках, например, postmaster, hr, support, куда имеют доступ НЕСКОЛЬКО сотрудников. Вот тут да, я с Вами соглашусь, это средство корпоративного общения в чистом виде и о личных таинствах речи быть не может.

  14.07.2011 - 10:35 |  zAlex

>> И его ящик i.i.ivanov@roga-i-kopyta.ru - это ЕГО ящик.
>>неких ОБЩИХ ящиках, например, postmaster, hr, support, куда имеют доступ НЕСКОЛЬКО сотрудников

А почему несколько сотрудников не могут иметь доступ к почтовому ящику "i.i.ivanov@roga-i-kopyta.ru"? Это вполне нормальное явление, например, Иванов Иван Иванович работник отдела продаж и этим ящиком пользуются его заместители, сотрудники, коллеги, секретарь и т.д.
Это тоже ОБЩИЙ ящик!
Или - Я директор компании - сегодня этим ящиком пользуется Иванов, а завтра Петров, а послезавтра - Иванов, Петров и Сидоров.
Для тайны переписки - используйте личные почтовые ящики.
Ведь написав почтовое письмо на ОТКРЫТОЙ открытке не в конверте, вы кому-то будете выдвигать претензии - почему вы читаете мою ЛИЧНУЮ почту? Смешно.

  18.07.2011 - 02:14 |  beralex

Вообще-то это совсем не нормальное явление. У заместителей, коллег, секретарей и т.д. должны быть соответствующие ящики на корпоративном почтовом сервере. Когда пользователи знают пароли от корпоративных почтовых ящиков своих коллег, а в случае, с тем же Exchange - от чужих учеток в AD - это совсем не нормально, и Вы прекрасно это понимаете.

Я смотрю, здесь начинается спор ради спора. Хочу напомнить, что сайт модерируется, и попытки потроллить будут пресекаться.

  07.09.2011 - 08:53 |  Алексей

На мой взгляд все это из-за несовершенства законов.
Антон, согласно Вашему комментарию закон о персональных данных действовать не может! Пользователь передает по почте ПД о клиентах и проверить это нельзя по Вашему?

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru