www.mfisoft.ru

Независимый блог об информационной безопасности

четверг, 12 мая 2016 г.

Контроль контролю рознь



Со вчерашнего дня новость о разработке системы перехвата разговоров сотрудников по мобильным телефонам облетела весь Интернет, не говоря уже о прессе. Поскольку описанное решение  вызвало много вопросов, мы просто не могли остаться в стороне. Подведем итоги:


Законность
Перехват и анализ работодателем содержания разговоров сотрудников по мобильному телефону в принципе противоречит статье 63  ФЗ от 07.07.2003 N 126-ФЗ «О связи».
Обеспечение тайны связи возложено на оператора, и вряд ли в интересах какой-либо компании оператор связи пойдет на прямое нарушение закона, позволяя интегрировать в свою сеть какие-либо аппаратные комплексы для перехвата трафика сотовой сети. После такого перехвата и ухода трафика за пределы зоны контроля оператора, он не может гарантировать соблюдения Тайны связи, в частности, выполнение анализа коммуникаций сотрудников исключительно автоматическими системами.
Даже если получено согласие сотрудника на перехват и анализ его телефонных разговоров, остается открытым вопрос обеспечения тайны связи оператором его собеседнику, который никаких разрешений не давал.
Этичность контроля сотрудников
Предлагаемый в статье вариант контроля мобильных разговоров неэтичен уже потому, что охватывает не только корпоративные телефоны, но и все телефоны в зоне охвата. Вероятность перехвата личной информации очень высока. А кто из нас хочет, чтобы прослушивали все личные разговоры?
Если компания хочет контролировать корпоративные телефоны всегда можно использовать более доступные решения, не нарушающие тайну связи. Телефоны можно раздать сотрудникам под подпись, установить туда ПО для записи всех разговоров и обязать сотрудников с определенной периодичностью сдавать телефоны для выгрузки информации. Такой вариант менее автоматизированный, но более доступный и не нарушает личное пространство сотрудников.
Зачем нужен контроль?
На внутреннем уровне (почта, файлы рабочих компьютеров) контроль не только допустим, но и необходим для защиты интересов бизнеса.
Компании осуществляют контроль работы сотрудников не с целью узнать тайны личной жизни, а обезопасить чувствительную информацию от хищения и распространения. Здесь важно осознание сотрудниками ценности этой информации. Во многих случаях мониторинг внутренних коммуникаций – это не только право, но и обязанность компании, та же защита персональных данных, банковской тайны, интеллектуальной собственности и т.п. Сохранность такой информации для сотрудников компании только во благо, так как защита интересов компании во многом и защита его личных интересов, тех же персональных данных. Утечка информации ограниченного доступа чревата серьезным ущербом для компании, который напрямую отразится на всех сотрудниках.
Любой мониторинг деятельности сотрудников должен начинаться с организационных и юридических мер. То есть уже при принятии на работу, сотрудник должен быть оповещен о наличии в компании системы защиты от утечек информации и необходимости использовать ресурсы компании только в рабочих целях.

Комментариев нет:

Отправить комментарий