Можно ли работнику при использовании корпоративных сетей компании самовольно создавать

Опубликовано: 16.05.2024

Работнику при установлении факта использования Интернет в рабочее время вменяется ненадлежащее исполнение трудовых обязанностей, которое заключается в нарушении положений должностной инструкции, правил внутреннего трудового распорядка и иных локальных нормативных актов, утвержденных в организации.

Не будем останавливаться на порядке привлечения к дисциплинарной ответственности (фиксация факта нарушения, порядок и сроки издания приказа о наложении дисциплинарного взыскания). Темой настоящей статьи будет являться вопрос о том, может ли вообще сам факт посещения работником каких-либо интернет-сайтов выступать основанием для применения дисциплинарного взыскания.

Анализ судебной практики позволяет сделать вывод о том, что к основным вопросам, подлежащим исследованию при рассмотрении подобных споров, относятся содержание локальных нормативных актов, объем должностных обязанностей работника и содержание интернет-ресурсов, которые работник посещал.

Доказывание правомерности применения дисциплинарного взыскания

Основным доказательством использования работником сети Интернет в рабочее время и на рабочем месте в судебных спорах выступает подготовленная соответствующим подразделением работодателя (служба безопасности или IT) докладная или аналитическая записка, содержащая данные о том, кем из работников, когда и какие ресурсы посещались. Как правило, к такой записке прилагается распечатка перечня посещаемых интернет-сайтов с указанием времени открытия соответствующей страницы. Поскольку документ этот исходит от работодателя, необходимо быть готовым к тому, что работник может подвергнуть сомнению его достоверность. В таких случаях аналогичная информация может быть запрошена у сторонней организации-провайдера.

Кроме того, работодателю необходимо будет доказать, что такое посещение интернет-ресурсов не входит в должностные обязанности работника. Перечень должностных обязанностей должен быть закреплен в соответствующей должностной инструкции, с которой работник должен быть ознакомлен.

Ввиду того, что претензии подобного рода чаще всего предъявляются к офисным сотрудникам, круг их обязанностей действительно может быть тесно связан с использованием тех или иных тематических сайтов. Так, например, было бы странно вменять в вину юристу посещение картотеки арбитражных дел на сайте Высшего Арбитражного Суда РФ; а сотруднику службы сбыта – посещение сайтов с объявлениями о проводимых конкурсах и аукционах. Кроме того, работнику может быть дано руководством разовое поручение, для выполнения которого он будет вынужден искать информацию в сети Интернет, хотя напрямую это и не связано с его обязанностями. Например, отдел кадров в Интернет может искать ведущего для корпоративного мероприятия или стихи для поздравления сотрудника с юбилеем.

Таким образом, вопрос о том, производилось ли посещение того или иного сайта работником в связи с необходимостью исполнять свои непосредственные обязанности, каждый раз подлежит подробному анализу. Если работник в объяснительной записке сможет внятно объяснить, в связи с какими текущими задачами он изучал ту или иную информацию, и эти объяснения покажутся суду логичными, его шансы на оспаривание дисциплинарного взыскания будут достаточно велики.

Необходимо также отметить, что для признания такого дисциплинарного взыскания обоснованным работодателю нужно будет доказать, что выход в сеть Интернет осуществлялся непосредственно привлекаемым к ответственности работником. В противном случае приказ о применении дисциплинарного взыскания может быть признан незаконным.

Так, апелляционным определением Ленинградского областного суда было изменено решение суда нижестоящей инстанции в части, приказ об объявлении выговора за использование работником сети Интернет в личных целях признан незаконным. При этом суд указал на то, что не было представлено необходимых и достаточных доказательств использования работником сети Интернет в личных целях. Отсутствовал приказ о закреплении оргтехники за сотрудником, документы о соответствии сетевого адреса конкретному компьютеру; из распечаток использования сети не явствовало, с какого компьютера осуществлялся доступ; не представлено доказательств ограничения доступа иных лиц в кабинет и к компьютеру работника.

Соотношение должностных обязанностей работника и специализации посещаемых им сайтов

Так, решением Верхнепышминского городского суда Свердловской области по иску работника о признании незаконными приказов о применении дисциплинарных взысканий установлено следующее. Истец работал в должности специалиста по аренде, в его должностные обязанности входили поиск арендаторов недвижимого имущества работодателя и заключение с ними договоров аренды. Работодателем установлены факты посещения работником в рабочее время сайтов, тематика которых не связана с исполнением им своих должностных обязанностей. По данному факту впоследствии работодателем было применено к работнику дисциплинарное взыскание в виде замечания.

Суд первой инстанции удовлетворил исковые требования истца по оспариванию дисциплинарных взысканий. В качестве основных мотивов, приведших к такому решению, суд указал следующие:

  • локальные нормативные акты работодателя не содержат запрета на посещение работниками интернет-сайтов в рабочее время;
  • сам факт наличия на рабочем компьютере технической возможности выхода в Интернет и отсутствие установленных ограничений свидетельствует о том, что необходимость доступа в Интернет при исполнении истцом должностных обязанностей имелась.
  • использование работником Интернет осуществлялось им в связи с исполнением своих должностных обязанностей: городские информационные сайты он посещал с целью поиска арендаторов; а на сайте www.hh.ru изучал статьи «Ключевые моменты ведения переговоров» и «Как повысить эффективность продаж», повышая тем самым свой профессиональный уровень.

При этом апелляционная коллегия отметила следующее. Выполнение работы по трудовому договору предполагает включение работника в производственную деятельность. Кроме того, трудовой договор предусматривает подчинение работника внутреннему трудовому распорядку; его составным элементом является выполнение в процессе труда распоряжений работодателя, за ненадлежащее исполнение которых работник может нести дисциплинарную ответственность. Работник выполняет не разовое поручение, а работы определенного рода. Работодатель, в свою очередь, оплачивает работнику то время, в течение которого работник исполняет именно свои должностные обязанности. В рассматриваемой ситуации в трудовые обязанности работника не было напрямую вменено посещение интернет-сайтов и изучение представленной на них информации. Более того, из материалов дела следовало, что истец посещал специализированные сайты по подбору персонала, тематика которых не была связана с его должностными обязанностями.

Таким образом, в рамках указанного дела суд апелляционной инстанции пришел к выводу, что, во-первых, локальные нормативные акты работодателя необязательно должны содержать прямой и недвусмысленный запрет на посещение сайтов в сети Интернет; а, во-вторых, что сам факт наличия возможности посещения сети Интернет с рабочего компьютера не предоставляет работнику такого права.

Необходимо отметить, что судом также дана была оценка доводам работника о том, что он посещал страницы интернет-сайтов с целью отвлечься от рутинной работы; и суд не счел этот довод уважительным. В определении указано, что объяснения работника о том, что «нахождение на любых сайтах является для него методом психологической разгрузки, так как позволяет поднять сосредоточенность при выполнении монотонных работ», свидетельствуют об использовании сети Интернет не для рабочих целей.

В аналогичной ситуации Верховный Суд Республики Башкортостан, оставляя в силе решение суда первой инстанции, которым в признании незаконным дисциплинарного взыскания было отказано, также не счел заслуживающими внимания доводы истца о том, что наличие технического доступа к любым сайтам и безлимитный интернет могут расцениваться как отсутствие запрета на просмотр информации в сети Интернет.

В качестве основных выводов из приведенной судебной практики можно сформулировать следующее.

  1. Факт посещения работником не относящихся к его работе сайтов должен быть подтвержден и не вызывать сомнения. Кроме распечатки перечня посещенных интернет-страниц работодатель должен предоставить доказательства того, что именно этот работник использовал персональный компьютер в соответствующие промежутки времени. Чаще всего это можно обосновать наличием у каждого пользователя рабочего ПК персонального пароля.
  2. У работника должна быть должностная инструкция, с которой он ознакомлен соответствующим образом, поскольку в отсутствие установленных должностных обязанностей невозможно доказать, что посещение сети Интернет не было с таковыми связано.
  3. Само по себе наличие технической возможности выйти в Интернет с рабочего ПК, равно как и отсутствие установленных ограничений на посещение тех или иных ресурсов, не свидетельствуют об одобрении работодателем использования сети Интернет на рабочем месте.
  4. Как правило, не требуется содержания в локальных нормативных актах предприятия прямого запрета на использование сети Интернет. Суды при этом исходят из того, что занятие иной деятельностью, кроме прямо возложенных на работника обязанностей, свидетельствует о нарушении им трудовой дисциплины. Вместе с тем, рекомендуем все же в трудовой договор, должностную инструкцию или в Правила внутреннего трудового распорядка включать пункт, предписывающий работнику использовать предоставленный на работе доступ к сети Интернет только в служебных целях.
  5. Вопрос о том, является ли тематика посещаемых работником сайтов связанной с его должностными обязанностями, каждый раз подлежит рассмотрению судом, исходя из фактических обстоятельств дела. Чаще всего работник бывает замечен в изучении сайтов, связанных с поиском работы, вместе с тем, тематика данных ресурсов может быть признана относящейся к должностным обязанностям лишь сотрудников отдела персонала и иногда – руководителей иных отделов, занимающихся поиском сотрудников в свой отдел или анализом рынка труда соответствующих специалистов.
  6. Посещение сайтов, не относящихся к работе сотрудника, в целях отдыха и отвлечения от основной работы необходимо расценивать как нарушение трудовой дисциплины.

Действительно, рассмотренный в статье вопрос весьма актуален в связи с распространенной для работодателей проблемой пользования работниками в свое рабочее время социальными сетям и прочими интернет-ресурсами в личных целях.

Но в личных целях Интернетом может пользоваться не только сам работник, но и его подчиненные. Например, работодатели часто встречаются с такой ситуацией, когда руководитель подразделения юридического лица (начальник отдела, службы и тому подобные), особенно если данное подразделение осуществляет обслуживание компьютерной техники, не отслеживает пользование Интернетом своими подчиненными, а последние, пользуясь его попустительством или нежеланием организовать труд, проводят свое рабочее время в социальных сетях или играя в компьютерные игры.

У работодателя часто возникает обоснованный вопрос, а может ли он привлечь к дисциплинарной ответственности такого работника, не справляющегося с функцией по руководству подчиненными.

Судебная практика по рассмотрению споров, связанных с обжалованием приказов о привлечении к дисциплинарной ответственности таких работников, менее обширна, нежели чем по спорам, проанализированным в статье указанного автора. Но, тем не менее, такая проблема существует, и работникам, занимающим должности руководителей «среднего звена», необходимо учиться организовывать труд своих подчиненных, в том числе в Интернете.

Анализ судебной практики свидетельствует о том, что необходимым условием привлечения работника к ответственности, в случае отсутствия с его стороны контроля за подчиненными, беспрепятственно пользующимися Интернетом в личных целях, является:

предусмотренная в локальных нормативных актах работодателя (правилах внутреннего трудового распорядка, должностной инструкции, иных актах) и в трудовом договоре с таким работником обязанность по ознакомлению своих подчиненных с локальными актами, регламентирующими работу в сети Интернет, в сфере информационной безопасности. Например, в должностной инструкции и трудовом договоре содержится положение следующего содержания: «руководитель отдела обязан своевременно, лично, под роспись ознакомлять своих подчиненных с локальными актами, регламентирующими порядок работы в сети Интернет», а в локальном акте, в с свою очередь, прописано, что «работники обязаны использовать имущество и иные ресурсы работодателя, в том числе доступ в сеть Интернет, только в интересах работы»;

предусмотренная в локальных нормативных актах работодателя и в трудовом договоре с таким работником обязанность осуществлять контроль за действиями подчиненного персонала при использовании им Интернета и средств вычислительной техники работодателя. Допустим, в должностной инструкции руководителя структурного подразделение указано, что: «учет использования подчиненными ресурсов сети Интернет возложен на руководителя отдела и на работников отдела обеспечения информационной безопасности (при наличии такого), контроль и ограничение трафика непроизводственного характера относится к обязанностям системного администратора»;

предусмотренная в локальных нормативных актах работодателя и в трудовом договоре возможность привлечения такого работника к дисциплинарной ответственности за деятельность, ведущуюся на компьютерах подчиненных и несанкционированную информацию, находящуюся на их компьютерах .
Безусловно, работник-руководитель структурного подразделения под роспись должен быть ознакомлен с вышеуказанными локальными нормативными актами.

Для HR-ов не секрет, что сотрудники компании нередко пользуются корпоративными средствами коммуникации и корпоративным доступом в интернет для своих личных целей. При этом часть рабочего времени уходит на личную переписку, просмотр обновлений в соцсетях, игры и тому подобное. Но привлечь к ответственности нарушителей дисциплины, злоупотребляющих бесплатным доступом в интернет в ущерб работе, можно, если есть документально оформленный запрет на посещение определенных ресурсов и совершение определенных действий. Ведь иначе работник может сослаться на то, что компания сама открыла ему доступ в интернет и нигде не было указано, что именно запрещено делать.

Во многих компаниях такие документы составляют сотрудники ИТ-подразделения. Но зачастую в небольших компаниях все политики и инструкции, касающиеся корпоративных правил поведения персонала, приходится прописывать HR-у.

Целью данных корпоративных правил является распространение единых стандартов использования интернета во всех подразделениях компании. Правила распространяются на всех работников компании, которые подключаются к сети интернет через технические средства компании на или вне ее территории (через удаленный доступ).

Корпоративные правила использования интернета в компании.

1. Работники фирмы имеют доступ к интернету через оборудование и системы фирмы. Данное действие рассматривается нашей компанией, как акт представительства нашей организации. Поэтому мы ожидаем, что работа в интернете будет проводиться в профессиональной деловой манере, т.е. будут применяться стандарты, аналогичные тем, которые используются при обслуживании клиентов (например, деловые встречи с клиентами).
2. Контроль за исполнением Правил сотрудниками компании возлагается на руководителей подразделений. Работа руководителей подразделений по контролю исполнения настоящих Правил проходит в тесном контакте с отделом персонала, службой безопасности, отделом информационных технологий.
3. Выход в интернет предоставляется компанией сотрудникам для:

  • поддержания и развития бизнеса и коммуникации сотрудников фирмы,
  • исследований и разработок,
  • развития квалификации работников, непосредственно связанной с выполнением работником своих должностных обязанностей,
  • сбора информации для большей осведомленности в производственных, финансовых, законодательных вопросах, если эти вопросы непосредственно влияют на выполнение работником своих должностных обязанностей.

4. Использование Интернет возможно, но не ограничивается:

  • для доступа к бизнес-базам данных,
  • для контактов с производителями и продавцами программного обеспечения с целью выгрузки файлов, запроса информации по продуктам и услугам и их наличию,
  • обмена электронной почтой по не конфиденциальным вопросам производственного характера внутри и вне компании,
  • сбора информации о финансовом состоянии рынка.

5. Использование электронной почты, досок объявлений, чат-комнат и выход в социальные сети в рабочее время, на оборудовании фирмы и, применяя имена пользователей и пароли фирмы в личных целях, для переговоров с друзьями и членами семьи рассматривается, как эксплуатация ресурсов компании в личных целях, и категорически запрещается. Никаких исключений не делается по данному вопросу для обеденных перерывов и во внерабочее время. Запрещается играть на компьютере в рабочее время и во время обеда.

6. Любые файлы, созданные на оборудовании фирмы, являются собственностью компании. Компания оставляет за собой право на доступ и аудит к любым файлам, хранящимся на оборудовании компании без предварительного уведомления работника.

7. Работники компании при ведении деловой переписки в интернете должны соблюдать правила деловой этики и исключать оскорбительные и неуважительные выражения, ущемляющие достоинство коллег или клиентов, партнеров компании.

8. Информационные ресурсы интернета безграничны. Как компания мы не можем постоянно контролировать наших сотрудников в данном аспекте и полностью специфицировать виды информации, к которым может иметь доступ тот или иной сотрудник. Однако, в случае явного нарушения данной политики сотрудником фирмы, немедленно последует взыскание, соответствующее ущербу, нанесенному компании.

9. Не разрешается использование интернета для:

  • ведения бизнеса не от имени фирмы
  • выгрузки порнографии, компьютерных игр, анекдотов
  • общения в социальных сетях, за исключением корпоративных страниц и групп
  • совершения действий, противоречащих правилам деловой этики компании, законодательству, политикам и процедурам компании
  • доступа к неавторизованной информации
  • доступа к системе под другим паролем
  • порчи электронной системы компании.

Данный список по мере необходимости будет дополняться от имени руководства компании.

10. Компания обращает особое внимание сотрудников на вопросы безопасности в сети Интернет. Это касается в первую очередь вопросов взлома системы, необдуманной загрузки файлов незнакомого содержания в сеть, и передачи их по сети, что несет вероятность занесения вирусов.

11. Отдел маркетинга координирует разработку Веб-страниц корпоративного сайта. Подразделения фирмы ответственны за поставку информации на эти страницы. Любая поставка информации на Веб-страницу согласовывается с руководителем не ниже уровня начальника отдела.

12. Сотрудники компании должны неукоснительно следовать закону копирайта. Поэтому не разрешается копировать без разрешения компьютерные программы, арт-работы, графику, музыкальные файлы, клипы и другую информацию, подпадающую под ограничения этого закона.

13. При работе в сети Интернет особенно с внешними организациями может возникнуть необходимость изложения своих взглядов по тем или иным вопросам. Каждый сотрудник компании имеет право на изложение собственного мнения. Однако сотрудники должны быть осторожны в данном вопросе и не отождествлять свое мнение с мнением компании, если оно не прошло согласование на верхнем уровне управления.
Мы рекомендуем в конце посылаемых сообщений, если они являются представлением Вашего мнения ставить фразу: «Любое мнение, высказанное в данном сообщении является моим собственным, и не представляет взгляды и политику компании».

14. Мы уведомляем сотрудников, что из соображений безопасности и необходимости контроля за использованием интернета в организации, будем осуществляться мониторинг системы, конкретных сообщений и файлов.

15. Данные Правила вводятся в компании с момента подписания приказа генерального директора, и доводятся персонально до сведения каждого сотрудника под роспись.

1.1. Настоящий Регламент разработан для повышения эффективности работы сотрудников (далее – Предприятие), использующих электронные информационные ресурсы глобальной сети Интернет, и повышения уровня информационной безопасности локальной информационно-вычислительной сети Предприятия.

1.2. Руководство Предприятия устанавливает постоянный контроль и полностью специфицирует виды информации, к которой разрешен доступ тому или иному работнику. В случае нарушения сотрудником Предприятия данного Регламента работник будет отстранен от использования ресурсов сети Интернет.

2. НАЗНАЧЕНИЕ ДОСТУПА К РЕСУРСАМ СЕТИ ИНТЕРНЕТ

  • доступа к мировой системе гипертекстовых страниц (www);
  • доступа к файловым ресурсам Интернета (FTP);
  • доступа к специализированным (правовым и др.) базам данных;
  • контактов с официальными лицами других правительственных структур, с сотрудниками структурных подразделений Предприятия, производителями и потребителями товаров и услуг Предприятия;
  • обмена электронной почтой с официальными лицами по неконфиденциальным вопросам производственного характера;
  • сбора информации о состоянии рынка продукции и услуг, производимых Предприятием;
  • повышения квалификации работников, необходимой для выполнения работником своих должностных обязанностей;
  • поиска и сбора информации по управленческим, производственным, финансовым, юридическим вопросам, если эти вопросы напрямую связаны с выполнением работником его должностных обязанностей;
  • другие цели.

3. ДОСТУП К ИНТЕРНЕТ-РЕСУРСАМ

3.1. Предприятие обеспечивает доступ пользователей локальной сети к ресурсам сети Интернет по специальным каналам связи в соответствии с настоящим Регламентом.

3.2. Без согласования с руководителем структурного подразделения, в котором работает сотрудник, и IT-менеджером Предприятия запрещена самостоятельная организация дополнительных точек доступа в Интернет (удаленный доступ, канал по локальной сети и пр.).

4. РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЯ

5. ОГРАНИЧЕНИЯ ПРИ РАБОТЕ В СЕТИ ИНТЕРНЕТ

  • посещение и использование игровых, развлекательных и прочих сайтов, не имеющих отношения к деятельности Предприятия и деятельности пользователя;
  • использование электронной почты, досок объявлений, конференций на компьютерах Предприятия в личных целях в любое время;
  • публикация корпоративного электронного адреса на досках объявлений, в конференциях и гостевых книгах;
  • использование некорпоративных e-mai адресов для рассылки служебной информации;
  • передача учетных данных пользователя;
  • применение имен пользователей и паролей компьютеров Предприятия на иных (сторонних) компьютерах;
  • играть в рабочее время в компьютерные игры автономно или в сети;
  • единовременное скачивание больших объемов информации (файлы в объемах, превышающих указанные в приложении к настоящему Регламенту);
  • посещение ресурсов трансляции потокового видео и аудио (веб-камеры, трансляция ТВ- и музыкальных программ в Интернете), создающих большую загрузку сети и мешающих нормальной работе остальных пользователей;
  • подключение к электронной сети под другим паролем;
  • создание личных веб-страниц и хостинг (размещение web- или ftp-сервера) на компьютере пользователя.
  • посещение и использование эротико-порнографических ресурсов сети Интернет, ресурсов националистических организаций, ресурсов, пропагандирующих насилие и терроризм;
  • нарушение закона об авторском праве посредством копирования и использования в служебных или личных целях материалов, защищенных законом об авторском праве;
  • осуществление деструктивных действий по отношению к нормальной работе электронной системы Предприятия и сети Интернет (рассылка вирусов, ip-атаки и т.п.);
  • загрузка материалов порнографического содержания, компьютерных игр, анекдотов, других развлекательных материалов;
  • передача персональных данных, конфиденциальной информации, сведений, составляющих служебную и коммерческую тайну, третьей стороне;
  • нанесение вреда электронной системе МПР России;
  • проведение незаконных операций в глобальной сети Интернет;
  • совершение иных действий, противоречащих законодательству, а также настоящему Регламенту.

5.3. Всем пользователям корпоративной линии подключения Предприятия к ресурсам глобальной сети Интернет ограничен доступ к почтовым серверам, в том числе и бесплатным почтовым службам, кроме корпоративного сервера . В случае если пользователю в служебных целях необходимо организовать почтовый ящик в домене, отличном от , необходимо получить письменное разрешение вышестоящего руководителя пользователя, согласованное с IT-менеджером Предприятия.

6. ОБРАЩЕНИЕ В ДРУГИЕ ОРГАНИЗАЦИИ ОТ ИМЕНИ ПРЕДПРИЯТИЯ

6.1. Работа в сети Интернет, общение с другими организациями могут быть связаны с необходимостью изложения своих взглядов по отдельным вопросам. Если сотрудник Предприятия высказывает в сообщении собственное мнение, то указанный сотрудник обязан предупредить об этом в конце сообщения фразой: «Прошу считать, что в сообщении указано мое личное мнение, которое необязательно отражает взгляды и политику Предприятия» – по предварительному согласованию с непосредственным руководством.

6.2. Официальные обращения по электронной почте к должностным лицам организаций-партнеров и организаций-заказчиков продукции и услуг Предприятия осуществляются по указанию генерального директора, заместителя генерального директора, начальника соответствующего структурного подразделения.

7. ВРЕМЯ РАБОТЫ ПОЛЬЗОВАТЕЛЕЙ В СЕТИ ИНТЕРНЕТ

  • ресурс активен с понедельника по пятницу, с 8.00 до 19.00;
  • при необходимости работы с ресурсами сети Интернет в выходные дни или в вечернее время пользователь обязан получить разрешение вышестоящего руководителя и уведомить информационные службы Предприятия с целью временного снятия ограничения для конкретного пользователя.

8. КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ РЕСУРСОВ СЕТИ ИНТЕРНЕТ

8.1. Администрация Предприятия оставляет за собой право в целях обеспечения безопасности электронной системы производить выборочные и полные проверки всей электронной системы и отдельных файлов без предварительного уведомления работников.

8.2. IT-менеджер Предприятия ведет учет использования ресурсов сети Интернет, обеспечивает контроль за соблюдением настоящего Регламента, обеспечивает безопасное использование ресурсов сети Интернет в соответствии с «Обязанностями информационной службы по обеспечению доступа к ресурсам сети Интернет».

8.3. После утверждения настоящего Регламента все пользователи Предприятия под личную роспись знакомятся с Регламентом и его приложениями.

Фото с сайта forbes.ru
Фото с сайта forbes.ru

О правилах, которые регулируют эту работу, рассказывают Виталий Твардовский, адвокат компании SBH Law Offices, и помощники адвоката Анна Солтанович и Екатерина Логвинович

— Ключевой шаг — внедрение внутренней политики компании по использованию социальных сетей (Social Media Policy).

Виталий Твардовский
Виталий Твардовский
Адвокат SBH Law Offices

Как в Беларуси, так и в России, все внутренние документы компании, содержащие обязательные для работников правила поведения, должны приниматься в форме локальных актов.

Локальный акт утверждается руководителем организации и доводится до сведения всех работников под подпись. Подтверждая свое ознакомление с локальным актом, работники берут на себя обязательство исполнять его требования.

Что должен содержать такой документ? Рекомендуется детализировать политику компании как можно подробнее. От того, насколько понятно и доступно будут изложены требования, зависит эффективность их исполнения.

Фото с сайта rtvi.com

Фото с сайта rtvi.com

Основные положения, которые следует отразить в политике:

1. Корпоративные аккаунты: в каких соцсетях они создаются и их официальные названия. Важно понимать, что закрепление корпоративного статуса аккаунта на уровне локального акта поможет в будущем избежать рисков возникновения споров по поводу его принадлежности. Если, например, аккаунт был зарегистрирован на одного из работников.

2. Лица, ответственные за ведение корпоративных аккаунтов. Это могут быть как работники, чья трудовая функция уже подразумевает работу с соцсетями (например, отдел маркетинга), так и любой другой работник.

Важно: согласно ст. 19 и 20 ТК Беларуси и ст. 60 ТК РФ наниматель не вправе поручать работнику выполнение работы, не обусловленной его трудовой функцией и трудовым договором.

Поэтому рекомендуется предусмотреть в должностной инструкции работника обязанность по ведению корпоративных аккаунтов и групп в соцсетях.

Чтобы как можно сильнее разграничить личное и корпоративное присутствие работника в соцсети, рекомендуем обеспечить создать аккаунт компании. через корпоративную SIM-карту. Логин и пароль от входа должны быть у нанимателя. Трудовой договор/должностная инструкция ответственного работника должны содержать обязательство: передать компании права на корпоративные аккаунты и/или группы, а также корпоративную SIM-карту, в случае увольнения.

3. Основные требования к ведению соцсетей:

  • В каких случаях и для каких целей они используются
  • Какой должен быть характер и стиль публикаций
  • Частота публикаций, механизмы взаимодействия с пользователями, принципы ведения корпоративного аккаунта и т.д.

Дополнительно, обратите внимание на эти важные аспекты:

Взаимодействие с аудиторией

При разработке политики по использованию компанией и сотрудниками соцсетей следует уделить внимание не только внутренним процедурам и правилам, но и «внешней» стороне корпоративных аккаунтов.

Фото с сайта blog.admixer.by

Фото с сайта blog.admixer.by

В такие «публичные» правила также можно включить понятный порядок обращения пользователей к компании через адреса электронной почты, корпоративные аккаунты, номера телефонов.

Публикация этих правил или размещение ссылки на них в доступном месте позволяет упорядочить активность на страницах компании в соцсетях, а также показать, что для компании важен комфорт подписчиков.

Авторское право и реклама

Помимо разработки политики в отношении соцсетей, нужно учитывать следующие моменты:

Получение их из открытого доступа (например, картинки из поисковиков). В отдельных случаях можно проверить условия, на которых картинка загружена в открытый доступ, например, в google-поиск можно отсортировать картинки с правом на свободное коммерческое использование или изменение.
Однако такая проверка не дает гарантий, что изображение действительно открыто для использования — окончательное подтверждение можно получить только напрямую у автора.

Использование фотостоков и фотобанков. Такие ресурсы объединяют создателей и покупателей изображений. При размещении своих материалов авторы предоставляют так-называемую royalty-free лицензию, которая позволяет покупателю приобрести права на многократное использование для различных целей за единоразовую фиксированную выплату. Таким образом, не нужно получать согласие автора и выплачивать ему вознаграждение за каждый отдельный случай использования. Существуют и полностью бесплатные фотостоки.

В любом случае следует внимательно ознакомиться с условиями и ограничениями по лицензии на конкретном ресурсе — нужно, чтобы такая лицензия подразумевала права на использование в коммерческих целях. Если планируется дорабатывать картинку, то нужно проверить наличие прав на внесение изменений.

Также отмечаем, что российское законодательство, так и законодательство многих иностранных государств, запрещает обнародование и использование фотографий граждан без их согласия. Белорусское право на данный момент не содержит такого запрета, однако белорусский Конституционный Суд предложил внести соответствующие изменения в законодательство.

Получение согласия правообладателя на использование его материалов компанией. Если нет возможности получить нужные материалы из открытых ресурсов, то можно напрямую получить согласие на использование материалов у конкретного владельца.

Фото с сайта gtrk-saratov.ru

Фото с сайта gtrk-saratov.ru

Такое согласие составляется в письменной форме, в нем указана коммерческая цель использования материалов и способы такого использования — будет ли компания вносить в материалы свои изменения, в каких соц. сетях планирует использовать, и т.д.

Отмечаем, что правообладатель не обязан давать согласие безвозмездно — в соответствии с законодательством, согласие может подразумевать и вознаграждение.

Получение согласия на использование нужно не всегда. Например, по российскому законодательству, получение согласия и выплата вознаграждения правообладателю не нужны, если изображения используются в некоммерческих целях (информационных, научных, учебных, культурных) c указанием автора и источника.

Важно: и российское, и белорусское законодательство рассматривают рекламу на информацию, распространяемую любым способом и в любой форме для привлечения внимания к объекту рекламирования или его продвижения на рынке. Объектами рекламирования могут являться товары, услуги (работы), сама компания, ее товарные знаки, др.

Соответственно, любая информация, размещенная компанией в соцсетях, попадающая под данное определение, должна соответствовать как общим требованиям о рекламе, так и специальным требованиям к рекламе отдельных товаров (услуг) (при наличии). Реклама должна быть этичной и не содержать ложных и недостоверных сведений.

Несколько базовых правил:

  • В Беларуси: размещение рекламы на русском или белорусском языке, использование четких букв для обязательной информации и иные требования в зависимости от объекта рекламирования.
  • В России перечень общих требований еще более широкий и включает, например, наличие всей существенной информации в рекламе, запрет на «скрытую» рекламу, указание стоимости товаров в российских рублях, достоверность и добросовестность рекламы.

Нарушение правил размещения рекламы может повлечь административную ответственность как в России, так и в Беларуси.

Также отмечаем, что рассылка рекламы в любых соцсетях, включая интегрированные мессенджеры, законна только при получении согласия пользователя.

Изображение с сайта olyapka.ru

Изображение с сайта olyapka.ru

Текущая редакция закона Республики Беларусь «О рекламе» не содержит требований к форме получения такого согласия, однако проект изменений в Закон, принятый 02.10.2019 года в первом чтении, содержит требование о получении согласия только в письменной форме. Электронная форма согласия также допустима.

Законодательство Российской Федерации не содержит уточнений о форме согласия, однако оно также обязательно.

Помимо рекламных требований, компания в любой своей деятельности обязана соблюдать правила добросовестной конкуренции. Клевета на конкурентов или их сотрудников, любая другая некорректная информация о них в комментариях или публикациях может повлечь требование о публикации опровержения и возмещении убытков.

В данной статье мы решили коснуться аспектов безопасности корпоративных сетей. И нам в этом поможет технический директор компании LWCOM Михаил Любимов.

Почему тема сетевой безопасности является крайне актуальной в современном мире?
Ввиду практически повсеместной доступности широкополосного интернета, большинство действий на устройствах производятся через сеть, поэтому для 99% современных угроз именно сеть является транспортом, на котором доставляется угроза от источника к цели. Конечно, распространение вредоносного кода возможно с помощью съемных носителей, но данный способ в настоящее время используется все реже и реже, да и большинство компаний давно научились бороться с подобными угрозами.

Что такое сеть передачи данных?
Давайте сначала нарисуем архитектуру классической корпоративной сети передачи данных в упрощенном и всем понятном виде.

Начинается сеть передачи данных с коммутатора уровня доступа. Непосредственно к данному коммутатору подключаются рабочие места: компьютеры, ноутбуки, принтеры, многофункциональные и различного рода другие устройства, например, беспроводные точки доступа. Соответственно оборудования у вас может быть много, подключаться к сети оно может в совершенно разных местах (этажах или даже отдельных зданиях).

Обычно, корпоративная сеть передачи данных строится по топологии «звезда», поэтому взаимодействие всех сегментов между собой будет обеспечивать оборудование уровня ядра сети. Например, может использоваться тот же коммутатор, только обычно в более производительном и функциональном варианте по сравнению с используемыми на уровне доступа.

Серверы и системы хранения данных обычно консолидированы в одном месте и, с точки зрения сетей передачи данных, могут подключаться как непосредственно к оборудованию ядра, так и могут иметь некий выделенный для этих целей сегмент оборудования доступа.

Далее у нас остается оборудование для стыка с внешними сетями передачи данных (например, Интернет). Обычно для этих целей в компаниях используются такие устройства, маршрутизаторы, межсетевые экраны, различного рода прокси-серверы. Они же используются для организации связи с распределенными офисами компании и для подключения удаленных сотрудников.

Вот такая получилась простая для понимания и обычная для современных реалий архитектура локально-вычислительной сети.

Какая классификация угроз существует на сегодняшний день?

Давайте определим основные цели и направления атак в рамках сетевого взаимодействия.

В дальнейшем злоумышленник, получив доступ к рабочей станции пользователя, либо может похитить конфиденциальные данные, либо развивать атаку на других пользователей или на иные устройства корпоративной сети.

Следующая возможная цель атаки – это, конечно же, серверы. Одини из самых известных типов атак на опубликованные ресурсы являются DoS и DDoS атаки, которые применяются с целью нарушения стабильной работы ресурсов или полного их отказа.

Также атаки могут быть направлены из внешних сетей на конкретные опубликованные приложения, например, веб-ресурсы, DNS-серверы, электронную почту. Также атаки могут быть направлены изнутри сети - с зараженного компьютера пользователя или от злоумышленника, подключившегося к сети, на такие приложения, как файловые шары или базы данных.

Также есть категория избирательных атак, и одной из самых опасных является атака на саму сеть, то есть на доступ к ней. Злоумышленник, получивший доступ к сети, может организовать следующую атаку фактически на любое устройство, подключенное к ней, а также скрытно получать доступ к любой информации. Что самое главное - успешную атаку подобного рода достаточно сложно обнаружить, и она не лечится стандартными средствами. То есть фактически у вас появляется новый пользователь или, хуже того, администратор, про которого вы ничего не знаете.

Еще целью атакующего могут быть каналы связи. Следует понимать, что успешная атака на каналы связи не только позволяет считывать передаваемую по ним информацию, но и быть идентичной по последствиям атаке на сеть, когда злоумышленник может получить доступ ко всем ресурсам локально вычислительной сети.

Каким образом организовать грамотную и надежную защиту передачи данных?

Для начала мы можем представить общемировые практики и рекомендации по организации защиты корпоративной сети передачи данных, а именно тот набор средств, который позволит минимальными усилиями избежать большинства существующих угроз, так называемый безопасный минимум.

В данном контексте необходимо ввести термин «периметр безопасности сети», т.к. чем ближе к возможному источнику угрозы вы будете осуществлять контроль, тем сильнее вы снижаете количество доступных для злоумышленника способов атаки. При этом периметр должен существовать как для внешних, так и для внутренних подключений.

В первую очередь, мы рекомендуем обезопасить стык с публичными сетями, ведь наибольшее количество угроз проистекает от них. В настоящее время существует ряд специализированных средств сетевой безопасности, предназначенных как раз для безопасной организации подключения к сети Интернет.

Такие вещи, как инспекция HTTPS трафика и автоматический анализ приложений, позволяют контролировать не только доступ к конкретным сайтам, но и разрешать/запрещать работу таких приложений как: Skype, Team Viewer и многих других, а как вы знаете, большинство из них давно работают по протоколам HTTP и HTTPS, и стандартными сетевыми средствами их работу просто так не проконтролировать.

В дополнение к этому, в рамках единого устройства вы можете получить еще и систему предотвращения вторжений, которая отвечает за пресечение атак, направленных на опубликованные ресурсы. Также вы дополнительно можете получить VPN-сервер для безопасной удаленной работы сотрудников и подключения филиалов, антиспам, систему контроля ботнетов, песочницу и др. Все это делает такое устройство действительно унифицированным средством сетевой безопасности.

Если ваша компания еще не использует такие решения, то мы очень рекомендуем начать ими пользоваться прямо сейчас, поскольку время их эффективности уже наступило, и мы можем с уверенностью сказать, что подобные устройства доказали свою реальную способность бороться с большим количеством угроз, чего не было еще 5 лет назад. Тогда подобные вещи только вышли на рынок, имели множество проблем и были довольно дорогими и низкопроизводительными.

А как же выбрать Next-generation firewall?

Сейчас на рынке огромное количество сетевых устройств с заявленным подобным функционалом, но действительно эффективную защиту способны обеспечить лишь единицы. Это объясняется тем, что лишь ограниченное число производителей имеют средства и действительно вкладывают их в nonstop проработку актуальных угроз, т.е. постоянно обновляют базы потенциально опасных ресурсов, обеспечивают бесперебойную поддержку решений и т.д.

Многие партнеры будут пытаться вам продать решения, которые выгодны им для продажи, поэтому цена решения отнюдь не всегда соответствует его реальной способности противостоять угрозам. Лично я рекомендую для выбора устройства обратиться к материалам независимых аналитических центров, например, отчетов NSS Labs. По моему мнению, они являются более точными и непредвзятыми.

Помимо угроз с внешней стороны, ваши ресурсы могут быть атакованы и изнутри. Так называемый «безопасный минимум», который следует использовать в вашей локально-вычислительной сети - это ее сегментация на VLANы, т.е. виртуальные частные сети. Помимо сегментации, требуется обязательное применение политик доступа между ними хотя бы стандартными средствами листов доступа (ACL), ведь просто наличие VLAN в рамках борьбы с современными угрозами практически ничего не дает.

Отдельной рекомендацией я обозначу желательность использования контроля доступа непосредственно от порта устройства. Однако при этом необходимо помнить о периметре сети, т.е. чем ближе к защищаемым сервисам вы примените политики - тем лучше. В идеале такие политики следует вводить на коммутаторах доступа. В таких случаях в качестве самых минимальных политик безопасности рекомендуется применять 4 простых правила:

- держать все незадействованные порты коммутаторов административно выключенными;

- не применять 1й VLAN;

- использовать листы фильтрации по MAC на коммутаторах доступа;

- использовать инспекцию ARP протокола.

Отличным решением будет применять на пути следования передачи данных те же самые межсетевые экраны с системами предотвращения вторжений, а также архитектурно использовать демилитаризованные зоны. Лучше всего внедрить аутентификацию подключаемого устройства по 802. 1x протоколу, используя для централизованного управления доступом к сети различные AAA системы (системы аутентификации, авторизации и аккаунтинга). Обычно эти решения обозначаются общим среди производителей термином NAC (Network Access Control). Пример одной из подобных коммерческих систем – Cisco ISE.

Также злоумышленниками могут быть совершены атаки на каналы. Для защиты каналов следует использовать сильное шифрование. Многие пренебрегают этим, а потом расплачиваются за последствия. Незащищённые каналы – это не только доступная для похищений информация, но и возможность атаки практически всех корпоративных ресурсов. У наших заказчиков в практике было немалое количество прецедентов, когда совершались атаки на корпоративную телефонию путем организации связи через незащищенные каналы передачи данных между центральным и удаленным офисом (например, просто используя GRE туннели). Компаниям приходили просто сумасшедшие счета!

Что вы можете рассказать о беспроводных сетях и BYOD?

Тему удалённой работы, беспроводных сетей и использования собственных устройств я хотел бы выделить отдельно. По своему опыту могу сказать, что эти три вещи – одна из самых больших потенциальных дыр в безопасности вашей компании. Но при этом они являются и одним из самых больших конкурентных преимуществ.

Если подойти к вопросу кратко, то я рекомендую либо полностью запрещать использование беспроводных сетей, удаленную работу или работу через собственные мобильные устройства, мотивируя это корпоративными правилами, либо предоставлять эти сервисы максимально проработанными с точки зрения безопасности, тем более, что современные решения предоставляют возможность сделать это в лучшем виде.

В плане удаленной работы вам могут помочь те же самые Next Generation Firewalls или UTM устройства. Наша практика показывает, что есть ряд стабильных решений (туда входят Cisco, Checkpoint, Fortinet, Citrix), которые позволяют работать с множеством клиентских устройств, при этом обеспечивая самые высокие стандарты для идентификации удаленного сотрудника. Например, использование сертификатов, двухфакторной авторизации, одноразовых паролей, доставляемые по SMS или генерируемых на специальном ключе. Так же можно контролировать программное обеспечение, установленное на компьютере, с которого производится попытка доступа, допустим, на предмет установки соответствующих обновлений либо запущенных антивирусов.

Безопасность Wi-Fi – это заслуживающая отдельной статьи тема. В рамках данного поста я попытаюсь дать самые главные рекомендации. Если вы строите корпоративный Wi-Fi, то обязательно прорабатывайте все возможные аспекты безопасности, связанные с ним.

Между прочим, Wi-Fi – это целая отдельная статья доходов нашей компании. Мы занимаемся ими профессионально: проекты по оснащению беспроводным оборудованием ТРК и ТЦ, бизнес-центров, складов, в том числе с применением современных решений, таких как позиционирование, выполняются у нас в режиме nonstop. И по результатам проводимых нами радио-обследований мы в каждом втором офисе и складе находим как минимум по одному домашнему Wi-Fi роутеру, которые подключали к сети сами сотрудники. Обычно они это делают для собственного удобства работы, допустим, в курилку с ноутбуком выйти или свободно перемещаться в пределах комнаты. Понятно, что никаких корпоративных правил безопасности на таких маршрутизаторах не применялось и пароли раздавались хорошо знакомым коллегам, потом коллегам коллег, потом зашедшим на кофе гостям и в итоге доступ к корпоративной сети имели практически все, при этом он был абсолютно неконтролируемым.

Конечно, стоит обезопасить сеть от подключения подобного оборудования. Основными способами это сделать могут быть: использование авторизации на портах, фильтрация по MAC и пр. Опять же, с точки зрения Wi-Fi, для сети следует использовать сильные криптографические алгоритмы и enterprise методы аутентификации. Но следует понимать, что не все enterprise методы аутентификации являются одинаково полезными. Например, Android устройства в некоторых релизах программного обеспечения могут по умолчанию игнорировать публичный сертификат Wi-Fi сети, тем самым делая возможным атаки класса Evil twin. Если же используется метод аутентификации, такой как EAP GTC, то ключ в нем передается в открытом виде и его можно в указанной атаке вполне перехватить. Мы рекомендуем в корпоративных сетях использовать исключительно аутентификацию по сертификату, т.е. это TLS методы, но учитывайте, что она значительно увеличивает нагрузку на администраторов сети.

Есть еще способ: если в корпоративной сети внедрена удаленная работа, то можно подключенные через Wi-Fi сеть устройства заставлять использовать еще и VPN клиент. То есть выделить Wi-Fi сегмент сети в изначально недоверенную область, и в итоге получится хороший рабочий вариант с минимизацией затрат на управление сетью.

Производители enterprise решений по Wi-Fi, такие как Cisco, Ruckus, который теперь Brocade, Aruba, которая теперь HPE, помимо стандартных решений по организации Wi-Fi, предоставляют целый набор сервисов по автоматическому контролю безопасности беспроводной среды. То есть у них вполне себе работают такие вещи как WIPS (Wireless intrusion prevention system). У данных производителей реализованы беспроводные сенсоры, которые могут контролировать весь спектр частот, тем самым позволяя отслеживать в автоматическом режиме довольно-таки серьезные угрозы.

Теперь коснемся таких тем, как BYOD (Bring your own device – Принеси свое устройство) и MDM (Mobile device management – Управление мобильными устройствами). Конечно, любое мобильное устройство, на котором хранятся корпоративные данные, либо которое имеет доступ к корпоративной сети, является потенциальным источником проблем. Тема безопасности для таких устройств касается не только безопасного доступа к корпоративной сети, но и централизованного управления политиками мобильных устройств: смартфонов, планшетов, ноутбуков, используемых вне организации. Эта тема актуальна уже очень давно, но только сейчас на рынке появились реально работающие решения, позволяющие управлять разнообразным парком мобильной техники.

К сожалению, рассказать о них в рамках данного поста не получится, но знайте, что решения есть и в последний год мы испытываем бум внедрений решений MDM от Microsoft и MobileIron.

Вы рассказали про «безопасность в минимуме», что тогда из себя представляет «безопасность в максимуме»?

Первая рекомендация с нашей стороны для «безопасности в максимуме» – это эшелонирование средств информационной безопасности. Что это означает?

Читайте также: