Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
Думай или сиди
 
Обсуждение статьи Думай или сиди
 
Цитата
Проводя мониторинг без должных формальных шагов, администратор фактически занимается незаконной оперативной деятельностью и нарушает при этом целый ряд законов.

Доброго времени суток!
Хотелось бы узнать подробнее о законах, которые нарушает администратор, т.к. прецендент по незаконному (даже со стороны руководства) мониторингу почты, ICQ и общего траффика имел место быть в дружественной организации.
 
1. Администратор в таком случае нарушает ст32 Конституции Украины (№ статьи в РФ просто не знаю, т.к. там не живу). Это статья о тайне личной переписки.
 
Да, забыл. Кроме того, он нарушает закон о розыскной деятельности. Опять же украинский
 
Цитата
Это статья о тайне личной переписки
Как утверждают юристы, к тайне личной переписки относится только бумажная корреспонденция, электронные средства обмена информацией не защищаются этой статьёй, при этом Интернет не относится к средствам массовой информации и публикация переписки в Интернет так же не повлечёт никаких последствий.
 
Рабочие станции, сервера, активное оборудование принадлежит компании, значит и вся информация, сгенерированная с помощью ресурсов компании принадлежит ей. Не вижу никаких припятствий для мониторинга. Другое дело привлечь на основании этих данных нерадивого работника к ответственности - это уже требует создания пакета нормативных документов по обработке и передаче информации с обязательным ознакомлением всех работников под роспись, где будут расписаны их права, обязанности и последствия в случае нарушения этих правил.

В случае с администратором, он может прочитать всю личную переписку работников компании на сервере, который он обслуживает, но не имеет права эту информацию распечатать, скопировать в любом виде или даже передать устно. Он не лезет в персональный почтовый ящик и не вскрывает чужой конверт, чтобы прочитать сообщение, он просматривает корпоративный сервер на наличие зловредного кода. :)

При этом нет никакого ограничения в предоставлении отчетов мониторинга в которых не будут отражены персональные данные работников, т.е. тексты их переписок, персональные данные включая паспортные и т.д. В отчёте мониторинга могут быть отражены только технические подробности, например объем переданной информации, источник, назначение, время и вид передаваемой информации.
 
На мой взгляд, вы (straga.ru) не совсем правы. Если он просто предоставляет отчеты - согласен. А как быть, если вы уверены (или вернее ваше руководство), что сотрудник систематически "сливает" информацию конкурентам? Ведь в таком случае нужно смотреть его письма. Или я ошибаюсь? А если ваш сотрудник не подписал соответствующие документы, тогда как? А тогда вы виноваты, т.к. занимаетесь незаконной оперативно-розыскной деятельностью!
 
straga.ru,
там подводных камней - вагон.

Цитата
straga.ru пишет:
принимаемая и передаваемая с электронного адреса, принадлежащего компании, является ее собственностью, и, следовательно, сообщения не могут быть личной
Вот Вам пока первый: входящее электронное сообщение может личную тайну отправителя, а он Вам ничего не подписывал.
Вот радио есть, а счастья нет. (с) Ильф
 
Аффтар прав, нужно уметь отделять сферу деятельности сисадминов от сферы деятельности сотрудников службы информационной безопасности.Дело админа - устанавливать и настраивать железо и софт согласно политики безопасности организации так, чтоб система работала, а дело "беза" - следить за тем, кто и как работает на этом настроенном и установленном(в т.ч.и за админом тоже).Кстати,принцип "четырёх" глаз ещё никто не отменял
 
Цитата
Для решения проблемы нужно принять внутренний документ, согласно которому сотрудники соглашаются на мониторинг их действий. И в процессе входа в корпоративную сеть выдавать предупреждение, что все действия пользователя записываются, причем с его согласия. Сделать это весьма просто, используя настройки параметров политики безопасности (локальной или групповой).
В некоторых странах даже за это сядешь и в моей тоже. Всем боссам объясняю, что безопасность - это не шпионаж и начисто отказываюсь от слежки. Лучше логи и журналы смотреть почаще, этого достаточно, чтобы составить представление о деятельности пользователя.
 
>некоторых странах даже

Не знаю как в некоторых странах, но в прогрессивных ЮСАх вставляешь в SMTP бanner (для входящих) и почтовый footer (для исходящих), что данное емло subject for monitoring и у всех лояров слёзы в глазах.

>может личную тайну отправителя

Сообщение может личную тайну - это сильно.
 
Мда, много уже копий на эту тему сломали.
Хорошо, предположим, я подписал согласие с тем, что вся информация, "генерируемая" ИС организации - ее собственность. Но владелец информации не тот, чьими ИС генерируется информация (в противном случае все, что я наколотил в Ворде, собственность Майкрософт), а тот, кто "породил" ее, явился первопричиной ее последующего фиксирования. Как владелец, он вправе передать на нее права своему работодателю, что обычно и оговаривается в Трудовом договоре. Но с личной перепиской "промашка у вас вышла ужасная" (с) Глеб Жиглов. Тайна личной переписки охраняется уже законом, а право иметь такую тайну - неотчуждаемое, как и другие основные права и свободы. Их ограничение возможно только на основании судебного решения. Грубо говоря, даже если я нотариально заверю (о конклюдентных действиях типа жмакания по кнопке "I agree" даже не говорю) свой отказ от права на тайну личной переписки, нарушивший ее все равно нарушит закон, а именно 23 (и, при некоторых обстоятельствах, 24) ст. Конституции РФ.
Итак, пишу я трепетное письмо, заведомо содержащее обстоятельсвта личной жизни; в поле "Тема" проставляю "Личное"...и отправляю со спокойным сердцем. И не стоит его читать: да, я нарушил некоторые положения локальных орг-распорядительных документов...ничтожность которых в сравнении с Конституцией будет признана любым судом.
Конечно, высказанная позиция дискуссионна, тем более, что даже юристы по информационному праву не могут прийти к единому мнению. Я лишь за дискурсивность и разумное самоограничение в формулировании "окончательных" суждений: мол, баннер все решает. Сам по себе ничего он не решает - право перлюстрации законом ни в одной стране мира работодателю не предоставлено.
ИМХО выбор методов должен базироваться на оценке рисков и отталкиваться от особенностей конкретной организации - где-то лучше вообще ничего не читать (если риск допустить утечку со стороны инсайдера - ничтожен, а риск предстать перед судом - велик), где-то лучше ничего не говорить, а просто читать, надеясь на юридическую неграмотность работников, а где-то лучше построить доверительные отношения, оставаясь, в то-же время, их заложником. Категорически я против лишь успокоения по поводу неуязвимости собственной позиции.
 
Цитата
straga.ru straga.ru пишет:
информация, принимаемая и передаваемая с электронного адреса, принадлежащего компании, является ее собственностью
Естественно, «свою» информацию руководство компании или уполномоченные им сотрудники имеют право просматривать
Вот Вам и второй, чтоб не заскучали: отнюдь не любая собственность (кстати, Вы про интеллектуальную или имущественную?) законно присваивается описанным способом. А если в письме статья Gartner, песенка Polygram, база МГБ или персональные данные родственника?

Это сродни тезису: "чтобы всех обыскивать, отныне провозглашаем, что любой предмет, пребывающий в офисе компании, является ее собственностью". Писульку-то Вы возьмете, но собственником не станете.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель: Вот Вам и второй, чтоб не заскучали: отнюдь не любая собственность (кстати, Вы про интеллектуальную или имущественную?) законно присваивается описанным способом. А если в письме статья Gartner, песенка Polygram, база МГБ или персональные данные родственника?
Естественно, что предприятие не будет иметь прав на входящую почту, но посмотреть что там может и удалить в том числе. Если мне в окно квартиры кинут запечатанный конверт, то я могу его спокойно сжечь не распечатывая. Могу открыть, посмотреть, закрыть и снова сжечь. А вот если там чужие паспортные данные, то распространять их не могу. Примерно в таком ключе.
 
Цитата

И, на мой взгляд, в наибольшей степени на роль сотрудника службы информационной безопасности подходит бывший сотрудник правоохранительных органов или военнослужащий. Конечно, идеальным будет случай, если он обладает знаниями системного администратора. Но иногда переделать психологию неорганизованного ИТ-инженера бывает сложнее, чем технически подготовить бывшего военнослужащего.

Очень большое заблуждение!
Несчастны те организации, где роль информационной безопасности выполняют
бывшие "особисты" и "секретчики". А таковых, кстати, немало.
Сисадмин (или сетевой админ), выросший до уровня менеджера по ИБ, это далеко
не "мальчик из поддержки пользователей, умеющий прикрутить мышку", которого
назначили за хорошее поведение начальником. Это уровень знаний и опыта,
сравнимый с хорошим высшим образованием.

Если даже просто взять расследование инцидентов (инсайдеров), то оно
четко делится на две части - техническое определение (логи, аудиты,
мониторинг) потенциального нарушителя и "социнжениринг".
Бывшие секретчики или военные никогда не смогут самостоятельно построить
(а еще чаще модифицировать) системы, которые бы давали реальную уверенность в воспроизводимости всех критичных действий пользователей и
их взаимосвязях.
Зато на втором этапе - "раскрутки" конкретного виновника на признание,
они практически необходимы. Т.к. таких навыков у ИТ-шников, разумеется, нет.
 
Цитата
straga.ru пишет:
Естественно, что предприятие не будет иметь прав на входящую почту, но посмотреть что там может и удалить в том числе.
Фигушки.
Не только распространение, но и прочтение, уничтожение, архивирование и т.п. - это обработка, на которую Вам законный хозяин информации полномочий не давал.
Можете только доставить или потерять.
В этом случае Вы как Укрпошта. Да, это Ваши ящики в подъездах висят, но на содержимое писем прав никаких.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Тимофей Третьяк пишет:
Несчастны те организации, где роль информационной безопасности выполняют
бывшие "особисты"
Давайте сейчас не затевать эту тему, а? В нормальной ИБ есть свое место и для тех, и для других, и даже для третьих с четвертыми (скажем, бывших финаудиторов или менеджеров по качеству). Несчастны те организации, где во всех ролях только один тип узких специалистов. Там натурально  * .
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Не только распространение, но и прочтение, уничтожение, архивирование и т.п. - это обработка, на которую Вам законный хозяин информации полномочий не давал. Можете только доставить или потерять. В этом случае Вы как Укрпошта. Да, это Ваши ящики в подъездах висят, но на содержимое писем прав никаких.

Вообще говоря - вся эта возня вокруг информации смахивает на демагогию.
Я попытаюсь обозначить несколько реально измеряемых критериев и вопросов,
по которым можно судить о положении вещей. Итак:
1. Какая конкретно статья УК (неважно - Российского или Украинского)
предусматривает уголовную ответственность за нарушение тайны личной переписки?
Без приставки "в незаконных целях"?
2. Назовите хотя бы два прецендента выигранных судебных процессов по
таким делам. На территории бывшего СНГ, разумеется и без политической
окраски.
3. Системы типа СОРМ и Эшелон вообще напрямую, безо всяких оговорок,
нарушают Конституции (в т.ч. американскую, кстати). И что?
4. Если информацию нельзя испольовать как доказательство в суде, это еще
никак не значит что ее нельзя использовать в оперативной либо следственной
работе.
5. Сильно хромает причинно-следственная связь в рассуждениях статьи.
Коль сотрудник не имеет права использовать корпоративную почту для личной
переписки, но использовал (причина сама по себе), то организация имеет
право вскрыть данную переписку т.к. она:
а) не обязана рассчитывать что пользователь нарушит правила и будет
генерировать/читать/передавать не принадлежащую организации информацию;
б) имеет право расследовать факт нарушения установленных (договорных) правил.

Укрпочта тут никаким боком, кстати. Она на договорных основаниях обязуется
доставлять заведомо чужую информацию. Частью этого договора есть ее (информации) неразглашение.

Декларация свободы слова вовсе не означает, что вы, работая в типографии
наборщиком, вольны добавлять свои личные замечания в верстку газеты.
Газета ЧУЖАЯ. И почтовый ящик - такой же ЧУЖОЙ в описанном в статье случае.
 
Цитата

Давайте сейчас не затевать эту тему, а? В нормальной ИБ есть свое место и для тех, и для других, и даже для третьих с четвертыми (скажем, бывших финаудиторов или менеджеров по качеству). Несчастны те организации, где во всех ролях только один тип узких специалистов. Там натурально  * .

Кстати - таки да! Согласен. Я просто исходил из разделения функций
физбезопасности и инфобезопасности. Если же взять ближе к 17799 - выйдет:
1. Специалисты по безопасности ИС
2. Специалисты по расследованиям и физбезопасности.
3. Финансовые аудиторы и специалисты по revenue assurance.
4. Специалисты по качеству.
5. СисАрхитекторы и проджект менеджеры.
6. Юристы (хотя бы один).

Итого - немаленькая структура выходит. И начинает намекать на CISO, как
топменеджера во главе оной.
Посему предлагаю в дальнейшем не использовать упрощений как автор статьи
или, после, я. ;)
 
Тимофей,
а зачем тайна переписки - можно и неправомерный доступ к охраняемой законом компьютерной информации влупить. Если владелец (не ящика, а сведений, содержащихся в письме) не организация и не сотрудник, из которого согласие выбили, то не вопрос. От 500 МРОТ до 5 лет.
Вот радио есть, а счастья нет. (с) Ильф
Страницы: 1 2 3 След.
Читают тему (гостей: 2)