В казарму заходитпрапорщик и обращается к солдатам:
- Товарищи солдаты, кто может починить рацию набронетранспортере?
- Товарищ прапорщик, а рация на лампах или наполупроводниках ?
-Для особо тупых повторяю: рация набронетранспортере.
(анекдот)
Такое впечатление, что в IT сообществе есть легенда, о том что мы на самом деле живем в матрице и если правильно составить документ локально можно переопределить переменные, наследуемые от родительских структур. Эксперименты пока ведутся на правовом поле, но так я думаю не за горами попытки локально переопределить базовые физические константы. Это выражается в изобретении системными администраторами различного рода писем и расписок о контрафактном софте. По некоторым данным, с точки зрения следствия, эти расписки служат отличным доказательством наличия преступного сговора между начальством и сисадмином. А в безопасности уже просто традицией стало желание отменить Конституцию.
>Как я уже говорил , не существует волшебной бумажки, подписав которую с работником, можно отменить Конституцию. Все последующие обсуждения и вопросы, в частом порядке ко мне, сильно напоминают этот шедевр. Приведу избранные высказывания:
> 1. «Корпоративная электронная почта принадлежит компании. Она должна использоваться сотрудником только для выполнения им служебных обязанностей и не предназначена для ведения личной переписки»
Да кто бы спорил, но право на тайну, в том числе и деловой переписки, имеет каждый гражданин. Далее см. Конституцию, ст. 23. Кроме того есть другой адресат, у которого может быть свое мнение по этому поводу. Теперь представим себе наличие личного письма в системе, которое было получено сотрудником (например, срочные новости от 4й любовницы, о том что 7я, 13я и 20я любовницы забеременели и встретились в больнице и если он не примчится немедленно в больницу, то реставрация руин бывшей больницы будет за его счет)
2. «Ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» гласит: «Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству Российской Федерации, меры».
Вот и применяйте меры, не противоречащие Конституции, в том числе ст. 23. Вообще любой ФЗ всегда был младше Конституции и не может ей противоречить.
3. «Вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих данной организации, и по оплаченным ею каналам связи или передачи данных, является служебной, даже если таковая ведется в нерабочее время».
И как это отменяет Конституцию? Еще раз для осознания: конституция не разделяет переписку на служебную и частную.
4. «Я напишу на чужом заборе что-то и волевым решением захочу скрыть это от посторонних. Хозяин забора, прочитавший надпись, нарушит мои конституционные права? А прохожие? Всех в уголовный суд?»
Есть некоторое различие между закупкой DLP за $1 млн. и чтением из общедоступного источника. Ключом для разрешения загадки может быть, то насколько много усилий предпринимается для нарушения тайны переписки. Для справки проводные телефоны так же ничего не шифруют и для перехвата разговора нужно всего провод и динамик на линии.
5. «Если в правилах внутреннего распорядка или подобном документе я декларирую де-юре существующее де-факто положение, что использование для переписки корпоративной почты не гарантирует соблюдение тайны переписки, что определенные (а то и все) сотрудники (а то и третьи лица), могут получить к ней доступ, то её использование в этих целях будет свидетельствовать о нежелании работника сохранять тайну, о его нежелании этим правом воспользоваться»
Еще раз, когда не применяются средства защиты информации. возникает угроза нарушения конфиденциальности в результате преднамеренных и непреднамеренных действий. Когда работодатель покупает специальную систему, устанавливает ее, настраивает с целью выделения из общего потока писем, тех что содержат резюме работника, блокирует их, а потом предпринимает дисциплинарные меры за то что
6. «Статьей Конституции Вам дано право на тайну переписки, но эта статья не налагает обязанностей ни на кого (кроме операторов связи в законе о связи, кем работодатель не является) по соблюдению Вашего права. Это как статьей Конституции дается право на свободное перемещение — попросите бесплатные билеты на поезд — у Вас же право есть на свободное перемещение, а его ограничивают стоимостью билетов»
Но статья налагает ограничения не позволяющие предпринимать активные действия со стороны третьих лиц для нарушения прав работников.
7. «Электронная почта не является почтовой корреспонденцией. Электронная пота не подразумевает сохранения тайны технически (сообщения передаются открытым текстом, без шифрования)».
А как насчет «и иных сообщений» в ст.23 Конституции или е-mail уже и не сообщение? Так же, еще раз, проводной телефон не использует шифрование, то же не подразумевается защита?
Я понимаю, что есть страстное желание блокировать утечку коммерческой тайны. Но причем здесь личная переписка? И причем здесь просто маниакальное желание введения перлюстрации?
Есть возможность первичный анализ свалить на робота, при введённом режиме КТ есть уже опробованные варианты поведения при фиксации роботом факта передачи КТ (CSIRT, ПБ, Управление инцидентами). Рассылка резюме не является фактом утечки КТ, как в прочем и инцидентом. А обеспечение исполнения запрета на использование корпоративных ресурсов в личных целях достигается другими способами, но ни как не перлюстрацией!
