Четкая формулировка требований и письменное уведомление сотрудников о том, как и когда будет осуществляться мониторинг, имеют очень важное значение, но еще важнее последовательно проводить принятую политику на практике. Флинн рекомендует придерживаться так называемого «подхода трех О»: определите свою политику, обучите персонал, обеспечьте последовательное выполнение ранее сформулированной политики. Все это предполагает сочетание технологии сканирования коммуникаций с письменным изложением политики и последующим воплощением принятых положений в жизнь на основе четкой программы обучения, призванной закрепить изложенные требования в сознании сотрудников.

Во многих компаниях — даже в тех, где политика расписана исключительно подробно, все же не проводится активное обучение сотрудников тому, что понимается под допустимым поведением в повседневной трудовой жизни. В Regence Group средства наглядной агитации — плакаты и бюллетени о принятой политике мониторинга — служат постоянным напоминанием работникам. Маклеод требует, чтобы каждый работник ознакомился с программой требований к безопасности, которая отделена от процедуры его первоначального ввода в курс дела. Новый девиз — «Безопасность — дело каждого» — известен каждому сотруднику Regence. В компании создан комитет по надзору, составленный из представителей топ-менеджмента. При утверждении новой инициативы в области безопасности руководители отвечают за выполнение принятых решений в своих подразделениях.

«В результате, когда работник приходит к своему начальнику с жалобой на то, что политика безопасности требует от него выполнения тех или иных действий, руководитель готов ответить: ‘Да, я лично принимал участие в выработке этого решения, и вот почему его нужно выполнять’, — пояснил Маклеод. — Мы не должны быть единственными проповедниками требований безопасности».

В какой-то степени процедура обучения гарантирует понимание сотрудниками всех пагубных последствий, к которым может привести невыполнение положений политики, причем последствия эти отражаются не только на них лично. Рассказы о тех бедствиях, которые были вызваны несоблюдением политики, являются мощным пропагандистским оружием в руках директора по безопасности. Большая часть сотрудников службы безопасности, естественно, отрицательно относится к идее насаждения страха, но работники должны понимать, что между их поступками и историями, попавшими в программы новостей, существует самая непосредственная связь. Если в СМИ появляется сообщение о размещении сотрудником секретных корпоративных сведений на досках объявлений Internet, имеет смысл еще раз повторить, что подобные действия представляют собой нарушение корпоративной политики, и в отношении виновных будет проведено расследование.

«Самая серьезная ошибка заключается в том, что никаких мер к нарушителям не принимается», — заметила юрисконсульт компании Morrison & Foerster по вопросам трудового законодательства Мириам Вагмайстер.

Если компания сформулировала политику, но не следит за ее соблюдением, это также может повлечь за собой отрицательные последствия. Когда работника поймают на серьезном нарушении и будет принято решение его уволить, тот вполне может ответить иском с обвинением в дискриминации. К тому же несоблюдение политики порождает у сотрудников ощущение полной безнаказанности.

Флинн советует директору по безопасности сразу сделать жесткое заявление и уволить первого, кто нарушит политику после ее утверждения. Таким образом, в компании с самого начала будет создан прецедент: «Уволив первого нарушителя, впоследствии вы сможете избежать необходимости увольнения десятков других сотрудников».

«Сознательная утечка информации в такой ситуации сослужит хорошую службу, — заметил директор информационной службы National Cooperative Bank Расселл Шофилд. — Вы сразу услышите коллективные охи и ахи из уст других сотрудников, внезапно осознавших, что в компании действительно все под контролем».

Daintry Daffy. Watch this Way. CSO, February, 2003

---

Юридическая справка

Мониторинг в законе?

Существуют ли в нашей стране нормы, регулирующие возможности мониторинга деятельности сотрудников в организациях (установка камер наблюдения, проверка электронной почты сотрудников, отслеживание посещения сайтов в рабочее время и т. п.)?
На этот вопрос «Директора информационной службы» отвечает юрист «Студии Артемия Лебедева» Андрей Миронов, miron@design.ru

Российское законодательство нигде напрямую не предусматривает возможность предприятия подобным образом контролировать деятельность своих сотрудников. Однако, если рассматривать ситуацию шире, то в трудовом договоре, опираясь на статьи 91 и 232 Трудового кодекса, можно предусмотреть ответственность сотрудников за нецелевое использование телекоммуникационных средств, предоставленных предприятием в целях более эффективного выполнения работ. При установлении такой ответственности также можно указать и механизм контроля электронной почты сотрудников и учета потребляемого ими трафика, в том числе с распределением по ресурсам.

На практике это можно реализовать следующим способом. В договоре о найме сотрудника следует указать, что сотруднику предоставляется необходимое оборудование, подключенное к Internet, и служебный электронный почтовый адрес в домене предприятия (скажем, имя_сотрудника@firma.ru). Далее указать, что переписка, осуществляемая со служебных почтовых адресов, является служебной и подлежит учету наравне с бумажным документооборотом, а потому на подобную переписку распространяются те же правила, что и на корреспонденцию, получаемую обычным способом. Оговорив таким образом режим использования электронной почты, предприятие получает возможность перлюстрировать переписку сотрудников. Естественно, только служебные адреса электронной почты.

Приказом исполнительного органа предприятия можно установить запрет на пользование средствами мгновенного обмена сообщениями, кроме специально предназначенных для работы в локальной сети. К примеру, может быть издан приказ о запрете использования ICQ с возложением исполнения приказа на системного администратора. Или же общение по ICQ приравнивается к служебной корреспонденции, что, как и в случае с электронной почтой, дает полное право просматривать архивы сообщений.

Теперь о мониторинге использования Internet. Сама по себе организация доступа в Internet в компаниях разнится, но, как правило, это локальная сеть предприятия, подключенная к Сети через сервер, — следовательно, ведется регистрационный журнал и учет трафика. В данном случае ситуацию тоже можно урегулировать приказом по предприятию, где указать, что при превышении сотрудником лимита, например, в 100 Мбайт трафика, предприятие вправе изучить сетевую статистику по конкретному пользователю.

Таким образом все проблемы, которые теоретически могут возникнуть у предприятия в связи с нарушением частной жизни, снимаются.

Почему не применяются нормы «прайвеси»? Предприятие заключает с сотрудником договор найма, по которому предприятие обязуется создать условия для работы и платить сотруднику жалованье, а сотрудник, напротив, принимает на себя обязательства пользоваться предоставленными условиями и выполнять возложенные на него функции наиболее эффективно. Сама по себе природа трудового договора не предусматривает наличие какой бы то ни было частной жизни, отдельной от функционирования предприятия, а потому предприятие вправе осуществлять контроль за использованием предоставленных сотрудникам ресурсов, а также сохранять сведения, которые, по мнению исполнительного органа предприятия, могут представлять собой коммерческую тайну или торговый секрет.

Между тем режим охраны коммерческой тайны сейчас только складывается — в связи с принятием соответствующего закона. Ранее к коммерческой тайне можно было отнести все, что угодно, кроме сведений, перечисленных в соответствующем постановлении правительства, которые априори не могли являться такой тайной.

---

Определение политики мониторинга

Первым шагом к определению политики мониторинга является базовый анализ тех действий, которые могут совершаться в пределах корпоративной сети. Его результатом должно стать выявление проблемных областей и четкое обоснование необходимости проведения мониторинга.

«Вы сможете сказать: посмотрите, что происходит при отсутствии всякой политики — в среднем 3,5 часа в течение рабочего дня люди тратят на решение личных проблем, — отметил Фредерик Лэйн, автор книги «The Naked Employee: How Technology Is Compromising Workplace Privacy» («Служащие без фиговых листков: компромисс между технологией и защитой частной жизни на рабочем месте»). — Осознав это, можно повернуться к людям и сказать: ‘Вот наши проблемы, а вот наши решения’».

К фундаментальным компонентам полноценной политики мониторинга относятся:

• Уведомление сотрудников о том, что вы будете контролировать характер использования имеющихся у них ресурсов.
• Разъяснение необоснованности ожиданий защиты тайны частной жизни в корпоративной сети.
• Подробный перечень всех видов недопустимого применения систем компании.
• Описание приемлемого использования этих систем.
• Обучение сотрудников работе с конфиденциальной информацией.
• Определение мер дисциплинарного воздействия.
• Сбор подписей сотрудников под документом о том, что они понимают всю меру своей ответственности и обязуются выполнять принятые правила.

Первые два элемента разъясняют работникам виды мониторинга и способы осуществления контроля.

«Компаниям необходимо сформулировать политику, которая бы на понятном языке объясняла всем, какие виды надзора будут применяться, и раздать всем соответствующие документы, с тем чтобы сотрудники знали, что их ждет, — пояснил Лэйн. — Подобная информация впоследствии избавит компанию от возможных осложнений, связанных с юридическими процедурами. Ведь многие судебные разбирательства обусловлены не столько самим фактом надзора, сколько тем, что сотрудники испытывают шок, внезапно узнавая, что находятся под наблюдением».

Политика должна ясно описывать характер правомочного (и неправомочного) использования компьютерных систем. Один из наиболее серьезных вопросов связан с тем, что директору по безопасности приходится контролировать время, в течение которого каждый из сотрудников имеет доступ к электронной почте и Internet. В некоторых компаниях любое использование электронной почты и Internet в личных целях запрещено, но подавляющее большинство руководителей признает, что в случае, когда рабочий день не нормирован, подобное обращение к почте и Internet необходимо. Нужно явно определить, что компания считает допустимым, — скажем, использование соответствующих средств только во время обеда или же применение их для вызова врача?

Директор информационной службы National Cooperative Bank Рассел Шофилд контролирует выход сотрудников в Internet с помощью программного продукта SurfControl. Эта программа блокирует все запрещенные сайты и следит за временем, в течение которого осуществлялся сеанс связи. Раз в месяц составляется отчет, в котором фигурируют сотрудники, чаще других выходившие в Internet. Если окажется, что работник провел в Internet больше времени, чем требуется обычно для выполнения его должностных обязанностей, соответствующая информация направляется его непосредственному начальнику.

«Многие сотрудники, однажды попавшие в этот отчет, не появляются в нем снова, а те, кого система все-таки регистрирует повторно, недолго держатся на верхних строчках, — отметил Шофилд. — Время, проводимое такими пользователями в Internet, очень быстро сокращается с 16 часов в неделю до обычного среднего уровня, составляющего около 5 часов. И устанавливаются такие сеансы, как правило, во время обеда».