`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Последствия наших намерений

+77
голосов

Вряд ли американцы намеревались поддержать разработчиков Tor, когда начинали свою программу PRISM. И, тем не менее, именно это у них и получилось: после того, как Сноуден обнародовал информацию об этой программе, количество пользователей знаменитого анонимайзера возросло многократно. Иначе, впрочем, и быть не могло.

Последствия наших намерений

Понятно дело, когда затевался проект PRISM, никто и не задумывался о том, что в итоге он станет достоянием общественности (хотя догадаться о том, что так все и будет, было, скажем прямо, несложно), поэтому и о том, что в итоге PRISM приведет к росту недовольства со стороны населения, не подумали.

Можно провести аналогию с внедрением DLP-системы. Вы молча внедряете ее, никому ничего не говоря, и потом увольняете нескольких сотрудников за то, что те «сливают» данные конкурентам. Дальше отделу информационной безопасности нужны новые победы, и они штрафуют уже тех, кто просто сидит в «Одноклассниках». В итоге, каждый сотрудник рано или поздно узнает, что в компании есть работающая DLP-система. Отношение к ней такое же, как к PRISM – «вы за нами следите», «какое у вас право» и так далее. Все недовольны, некоторые даже уходят. Вместо плюсов от внедрения сплошная головная боль.

Совсем иначе обстоят дела, если вы заранее сообщили сотрудникам о наличии DLP-системы. Что было бы с той же PRISM, если бы о ней технически грамотным языком сообщили заранее широким массам? Скорее всего, ничего. Поговорили да забыли. То же самое и тут. Да, возможно, станет немного сложнее вылавливать инсайдеров, которые действуют против вас. Ну так и им действовать станет труднее. В конечном итоге, при систематической работе ИБ-службы все они все равно попадутся.

Последствия наших намерений

+77
голосов

Напечатать Отправить другу

Читайте также

Согласно нашего законодательства, внедрение любой "следящей" системы требует письменного согласия сотрудника. Так что "потихоньку" внедренная система DLP - действие незаконное и потенциально уголовно наказуемое.

ключевое слово - _нашего_, а хороший контракт на работу уже содержит все согласия даже без установленной системы...

Соглашусь с Павлом по поводу контракта и вот почему:

Что в постановлениях Пленума Верховного Суда Украины упоминается, что судопроизводство должно осуществляться в соответствии с Законом «О выполнении решений и применении практики Европейского суда по правам человека» (Закон от 23 февраля 2006 № 3477-IV).

А в том же ЕСПЧ было дело в 2007 году, которое затрагивает вопросы легальности DLP-систем («Копланд против Соединенного Королевства» (Copland v. United Kingdom) и вынесенному постановлению 03.04.07 № 62617/00).

В комментариях к этому делу суд отметил, что право работодателя контролировать переписку работника не исключается полностью. Однако, если ситуация не прописана в законах страны, это право должно быть закреплено в нормативном правовом акте или хотя бы в локальном нормативном акте.

Что возвращает нас к абсолютно верному комментарию Павла.

Тот же Павел отметил _хороший_ контракт. Но таких (пока что) не так уж много и встречаются они чаще всего в финансовых и государственных учреждениях. А на моей памяти были прецеденты, когда использовался "стандартный" подход - без подписания детального договора.

Что сказать. Тут уже всё в наших руках. Мы своим клиентам по возможности стараемся подсказать даже с формулировками некоторых пунктов. Естественно, поясняем, как это всё вяжется с КЗоТ, УК, Конституцией и т.д.

Коллизии имеются. И если сотрудник откажется подписать тот или иной пункт трудового договора - с вероятностью 70% он выиграет суд, если его не примут из-за этого на работу. По мнению некоторых юристов, "достаточно" подписать NDA, а DLP могут применяться только в "режимных" организациях.

Я долго прорабатывал эти вопросы с разными юристами, но единого мнения на этот счет у них нет.

Что тут сказать. Две правды. Ситуация вряд ли будет однозначной в обозримом будущем. А пока, по моему мнению, коли дело дойдёт до суда, то прав будет тот, у кого юрист подкованнее.

В том же деле ЕСПЧ суд особое внимание обратил на то, что сотрудницу не ознакомили под подпись. Окажись закорючка на нужном листке, вряд ли она бы дело выиграла.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT