Анонс. Читайте в онлайн-газете "iToday

Анонс. Читайте в онлайн-газете "iToday.ru" статью Ольги Фединой "IT-отдел как спецслужба" с юридическим комментарием юриста МКА "Князев и партнеры" Игоря Симонова. Истории этой больше года. Системный администратор солидной московской компании по имени "ОАО НТЦ … МВД РФ" (полное название мы решили все же не публиковать – Ред.) развлекал коллег, демонстрируя им, чем за рабочим компьютером занимается нелюбимый ими начальник, заведующий одним отделов. Начальник же проявлял склонность проводить время на порносайтах. Технически это было несложно – софт для того, чтобы подсматривать за мониторами в локальной сети, общедоступен, и сисадмины им вовсю пользуются. Само собой, офисный люд с удовольствием обсуждал повадки шефа до тех пор, пока слухи об этом не дошли до сотрудников отдела безопасности, а после – и до самого любителя порнографии. Главным пострадавшим в этой истории стал, конечно же, сисадмин. Его уволили. А беспутный начальник нанял нового сисадмина и с его помощью перешел на новый уровень освоения информационных технологий – стал следить за тем, что делают за компьютером его сотрудники. Новый сисадмин, впрочем, оказался парнем порядочным и людей об этом предупредил. Те приняли информацию к сведению и без возражений: отказываться от хорошо оплачиваемой работы никому не захотелось. Отдел безопасности закрыл глаза на то, что любитель порно занялся слежкой за персоналом. Это – типичный пример независимого существования служб IT и безопасности, которое не идет на пользу компании. При правильной организации дела такое невозможно. За данными, обрабатываемыми в корпоративной вычислительной сети, и за сотрудниками следят с помощью специального софта и стандартных процедур. В данном случае достаточно было применить простейшую из них, а именно блокировать доступ к порноресурсам. Как зовут "большого брата": I.T. или С.Б.? В чьей компетенции – IT-службы или службы безопасности – контроль за поведением сотрудников в корпоративной сети и за личной информацией, которую они  хранят на рабочем компьютере? Везде по-разному. "Они могут быть на равных или подчиняться одна другой, могут дружить или соперничать, могут сообща работать на прибыль предприятия или думать только о "попиле" бюджета", - говорит главный аналитик компании InfoWatch Николай Федотов. По мнению директора департамента развития компании Leta IT Вениамина Левцова, функции IT и безопасности разграничить не составляет особого труда: "На плечи IT-отдела ложится обеспечение нормальной работы информационной инфраструктуры компании: чтобы письма отправлялись, чтобы документы печатались, чтобы сеть работала. Служба безопасности призвана отслеживать, что отправляется, и, в случае необходимости, прервать процесс отправки информации. Таким образом, сотрудники службы безопасности выступают в роли мониторщиков и репрессоров. Айтишники только предоставляют доступ к отчетам и являются источником информации. Если случаются инциденты, это дело службы безопасности". На практике эта идеальная схема работает не всегда. Николай Федотов описывает историю, свидетелем которой он был. Крупное предприятие. Отдел информационной безопасности входит в состав департамента безопасности. Начальник этого департамента, генерал МВД (отставной, правда) на совещании у генерального должен критиковать проект, предложенный департаментом IT, поскольку проект этот содержит принципиальные уязвимости. Бедняга искренне хочет это сделать, но не может, потому что совершенно не разбирается ни в терминологии, ни вообще в IT. Он не в состоянии не только изложить соображения начальника отдела информационной безопасности, но даже прочитать по бумажке то, что тот написал. И при этом не взял подчиненного на совещание – дескать, не по чину. В итоге, генеральный слышит со стороны IT-службы ясные аргументы, а со стороны службы безопасности - невнятный лепет. И принимает решение, далекое от оптимального. "Соперничество IT и службы безопасности заложено в их природе. IT обычно отвечает за функциональность выпускаемого продукта или обслуживаемой информационной системы. А любое усиление безопасности неизбежно влечет снижение функциональности (или удобства, что тоже есть функциональность)", - говорит г-н Федотов. Даже в том случае, когда отделам удается наладить взаимовыгодное сотрудничество, в информационной защите компании могут оставаться уязвимости. Как правило, это связано с недостаточной квалификацией сотрудников отдела безопасности. "В большинстве случаев они недостаточно квалифицированны, чтобы полноценно определить уровень конфиденциальности и возможный урон, который может понести компания при ее утечке. Так, в компании с тысячей компьютеров хранится около 100 тыс. экземпляров документов и более десяти баз данных, содержащих конфиденциальную информацию. Но понять, какая информация действительно является конфиденциальной, может только ее владелец - линейный менеджер или начальник отдела. Поэтому при получении сигнала от DLP-системы (от Data Leak Prevention – предотвращение утечек информации – Ред.), в известность должны ставиться офицер службы ИБ и владелец информации", - говорит г-н Левцов. Без права переписки Работодатель вполне может лишить сотрудников права на личную жизнь в рабочее время. По российским законам, руководство компании может следить за своими подчиненными. "Наблюдение за человеком во время его пребывания на рабочем месте даже с натяжкой нельзя назвать нарушением тайны личной жизни. Тем более, если в компании установлен повышенный режим секретности, или человек работает с информацией, которая является коммерческой тайной", - говорит юрист московской коллегии адвокатов "Князев и партнеры" Игорь Симонов. Но работодатель должен соблюсти правила: людей следует информировать о том, что их контролируют. Что за ними, если называть вещи своими именами, следят. Сегодня, по мнению главного аналитика компании InfoWatch Николая Федотова, в российских офисах существует три варианта такой слежки: "Либо каждый работник устно извещается об отслеживании его сетевой активности, либо работники заранее дают письменное согласие на ознакомление с их перепиской и иными сообщениями, либо людей об этом специально не информируют, а DLP-система сканирует содержание всех сообщений на наличие ключевых слов, и письменное разрешение вскрыть переписку у работника берется только при расследовании инцидента". Юрист Игорь Симонов говорит, что работодатель, если он желает перлюстрировать электронную почту сотрудника без его согласия, должен зафиксировать это в трудовом договоре. Иначе пролетарий вправе защищать тайну своей личной жизни – даже отказаться показывать содержание письма, в котором система обнаружила подозрительные ключевые слова. "Свое право на частную переписку служащий может отстаивать в суде. Чаще всего подобные дела решаются в пользу сотрудника", - говорит Вениамин Левцов. Но это в теории. На практике же, если возникает серьезный инцидент, почтовый ящик сотрудника сплошь и рядом вскрывается без его согласия, благо криптозащита его не слишком сложна и снимается стандартными (и недорогими) программными средствами.