Журнал "Information Security/ Информационная безопасность" #4, 2018

обзора обширной судебной практики, отраженные в постанов- лении Пленума Верховного Суда РФ от 17.03.2004 № 2 "О при- менении судами Российской Федерации Трудового кодекса Российской Федерации", с применимыми положениями которого настоятельно рекомендуется ознакомиться. Рассмотрим один из успешно применяемых на практике примеров организации и проведения служебных проверок по тем инцидентам информационной безопасности, которые обра- зуют составы дисциплинарных проступков. Остальные инци- денты, с том числе связанные с внешними воздействиями, безусловно, подлежат рассмотрению, но полноценный механизм служебных проверок для них видится избыточным по меньшей мере потому, что использование его результатов сильно ограничено соответствующими процессуальными нормами. Типовая ситуация: работодатель обладает информационными ресурсами, некоторые из которых предоставляет работникам для выполнения трудовых функций, и имеет потребность и возможности контролировать режим их использования; работ- ник использует предоставленные ему ресурсы в соответствии с установленными правилами в целях выполнения своей тру- довой функции. Какие вопросы и как должны быть урегулиро- ваны в таком случае? Пойдем по порядку. 1. Отражение в трудовых договорах положений о допустимом использовании и праве работодателя контролировать этот порядок использования (в том числе с помощью специальных аппаратно-программных средств). Это могут быть нормы в части обеспечения режима коммерческой тайны, выполнения требований политик информационной безопасности и др. 2. Отражение в должностных инструкциях работников кон- кретных положений о порядке использования ресурсов рабо- тодателя, запретах и ограничениях. #Ошибка_2 Одной из распространенных ошибок этого этапа является размытый, неконкретный (общий) характер формулировок ограничений и запретов, зафиксированных в должностных инструкциях, что приводит к значительным трудностям доказывания их нарушений. 3. Отражение ключевых положений допустимого использо- вания в правилах внутренного трудового распорядка. 4. Хорошей практикой является описание порядка организа- ции и проведения служебных проверок во внутренних норма- тивных документах (например, в правилах внутреннего трудо- вого распорядка или отдельным документом). 5. Наделение полномочиями (обязанностями) контроля выде- ленного работника или подразделения (подразделения инфор- мационной безопасности, например), с отражением этих пол- номочий в должностных инструкциях работников. 6. Доведение указанных документов до сведения всех работ- ников, например, под роспись. #Ошибка_3 Частой ошибкой являются случаи, когда указанные документы разработаны, введены в действие в организации, но не доведены до сведения работников. Таким образом, доказать, что конкретный работник нарушил отдельные требования, будет затруднительно (чаще невозможно). 7. Развертывание, ввод в действие и надлежащая эксплуа- тация средств и систем контроля. Следует обратить внимание, что какая-либо сертификация или аттестация в целях органи- зации и проведения служебных проверок нормативными доку- ментами не установлена. Использование свободно распро- страняемых программных продуктов вполне допустимо. #Ошибка_4 Ошибки, допускаемые некоторыми организациями в этой части, заключаются в использовании средств с нарушением требований лицензионных договоров или средств, закупленных, но не введенных в эксплуатацию. Отдельное внимание следует обратить на массу спорных вопросов в части возможного нарушения конституционных прав граждан на тайну переписки при осуществлении контроля использования работниками информационных систем работо- дателя. Процесс Инцидент случился, установлены предварительные факты. С этого момента начинается течение сроков, отведенных на его проверку и вынесение решения (о применении или непри- менении взыскания, например). Общий срок, установленный Трудовым кодексом РФ на применение дисциплинарного взыс- кания к работнику, – один месяц со дня обнаружения проступка 4 . Время болезни, отпуска, командировки не учитывается. Руко- водствуясь этим, целесообразно организовать проведение проверки достаточно оперативно, обычно в 5–7-дневный срок. Порядок 1. Выявление и фиксация факта инцидента (события). Результатом этого этапа может являться докладная (слу- жебная) записка или акт, отражающий факт нарушения и всю относящуюся к нему информацию, такую как дата, время, опи- сание события, реквизиты использованных учетных записей, если инцидент касается информационных ресурсов, и др. Сюда же прикладываются первичные свидетельства события нарушения: фрагменты журналов регистрации событий, снимки экрана, акты осмотра помещений или средств вычислительной техники, копии документов и т.п. Причем не все подряд, • 15 УПРАВЛЕНИЕ www.itsec.ru 4 Ст. 193 ТК РФ.