Каким образом можно маскировать установку новой системы безопасности на компьютер сотрудника
Обновлено: 02.07.2024
Информация является ценным и жизненно важным ресурсом. Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник, при этом первоочередной задачей является обеспечение безопасности всех активов. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив. Главные цели не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
В настоящей Политике под термином «сотрудник» понимаются все сотрудники.
1.1. Цель и назначение настоящей Политики
Целями настоящей Политики являются:
- сохранение конфиденциальности критичных информационных ресурсов;
- обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;
- защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;
- повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;
- определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности.
Руководители подразделений должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.
1.2. Область применения настоящей Политики
Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации. Соблюдение настоящей Политики обязательно для всех сотрудников.
Организации принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования организации, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала организации.
2. Требования и рекомендации
2.1. Ответственность за информационные активы
В отношении всех собственных информационных активов организации, активов, находящихся под контролем организации, а также активов, используемых для получения доступа к инфраструктуре организации, определена ответственность соответствующего сотрудника Компании.
2.2. Контроль доступа к информационным системам
2.2.1. Общие положения
Все работы в пределах офисов организации выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в организации.
Внос в здания и помещения организации личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы организации производится только при согласовании
Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну организации и хранящиеся на жестких дисках портативных компьютеров, зашифрованы. Все портативные компьютеры организации оснащены программным обеспечением по шифрованию жесткого диска.
Руководители подразделений периодически пересматривают права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему осуществляется с использованием уникального имени пользователя и пароля.
Пользователи руководствоваются рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.
2.2.2. Доступ третьих лиц к системам Компании
Каждый сотрудник обязан немедленно уведомить руководителя обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
Доступ третьих лиц к информационным системам Компании должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Компании должен быть четко определен, контролируем и защищен.
2.2.3. Удаленный доступ
Пользователи получают право удаленного доступа к информационным ресурсам организации с учетом их взаимоотношений с организации.
Сотрудникам, использующим в работе портативные компьютеры организации, может быть предоставлен удаленный доступ к сетевым ресурсам организации в соответствии с правами в корпоративной информационной системе.
Сотрудникам, работающим за пределами организации с использованием компьютера, не принадлежащего организации, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.
Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам организации, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети организации и к каким-либо другим сетям, не принадлежащим Компании.
Все компьютеры, подключаемые посредством удаленного доступа к информационной сети организации, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления.
2.2.4. Доступ к сети Интернет
Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.
- сотрудникам организации разрешается использовать сеть Интернет только в служебных целях;
- запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
- сотрудники организации не должны использовать сеть Интернет для хранения корпоративных данных;
- работа сотрудников организации с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации организации в сеть Интернет;
- сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем организации;
- сотрудники организации перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
- запрещен доступ в Интернет через сеть организации для всех лиц, не являющихся сотрудниками организации, включая членов семьи сотрудников организации.
2.3. Защита оборудования
Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация организации.
2.3.1. Аппаратное обеспечение
Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы), для целей настоящей Политики вместе именуются «компьютерное оборудование». Компьютерное оборудование, предоставленное организации, является ее собственностью и предназначено для использования исключительно в производственных целях.
Пользователи портативных компьютеров, содержащих информацию, составляющую коммерческую тайну организации, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах, или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.
Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.
Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля в гостиничный номер.
Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.
При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.
Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.
Порты передачи данных, в том числе FD и CD дисководы в стационарных компьютерах сотрудников Компании блокируются, за исключением тех случаев, когда сотрудником получено разрешение.
2.3.2. Программное обеспечение
Все программное обеспечение, установленное на предоставленном организации компьютерном оборудовании, является собственностью организациии должно использоваться исключительно в производственных целях.
На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:
Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем.
Сотрудники Компании не должны:
- блокировать антивирусное программное обеспечение;
- устанавливать другое антивирусное программное обеспечение;
- изменять настройки и конфигурацию антивирусного программного обеспечения.
Компания предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со своим менеджером по бизнес информации, который проинформирует их о порядке приобретения и/или разработки программного обеспечения.
2.4. Рекомендуемые правила пользования электронной почтой
Сотрудникам запрещается направлять партнерам конфиденциальную информацию Организации по электронной почте без использования систем шифрования. Строго конфиденциальная информация Организации, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.
Сотрудникам Организации запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.
Использование сотрудниками Организации публичных почтовых ящиков электронной почты осуществляется только при согласовании с Департаментом защиты информации при условии применения механизмов шифрования.
Сотрудники Организации для обмена документами с бизнес партнерами должны использовать только свой официальный адрес электронной почты.
Ниже перечислены недопустимые действия и случаи использования электронной почты:
Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.
В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте директору Департамента защиты информации.
Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:
- проинформировать ответственных специалистов;
- не пользоваться и не выключать зараженный компьютер;
- не подсоединять этот компьютер к компьютерной сети Организации до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование специалистами Департамента информационных технологий.
2.6. Помещения с техническими средствами информационной безопасности
Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.
Перечень помещений с техническими средствами информационной безопасности утверждается Руководством Организации.
Участникам заседаний запрещается входить в помещения с записывающей аудио/видео аппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования.
Аудио/видео запись, фотографирование во время конфиденциальных заседаний может вести только сотрудник Организации, который отвечает за подготовку заседания, после получения письменного разрешения руководителя группы организации встречи.
Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.
2.7. Управление сетью
Уполномоченные сотрудники контролируют содержание всех потоков данных проходящих через сеть Организации.
Сотрудникам Организации запрещается:
2.7.1. Защита и сохранность данных
Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты Департамента информационных технологий обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.
Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения.
Только специалисты на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.
Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.
Все заявки на проведение технического обслуживания компьютеров должны направляться в Департамент информационных технологий.
2.8. Разработка систем и управление внесением изменений
Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителями.
По данным экспертов в сфере информационной безопасности:
- каждая третья российская компания читает электронную переписку сотрудников;
- каждая пятая следит за тем, какие сайты посещают сотрудники;
- каждая десятая интересуется содержимым мессенджеров.
Хуже дела обстоят с прослушкой разговоров по мобильнику. Но это пока: технологические новации есть и в этой области.
Методы слежки: шпионское ПО
Софт действует локально и никак не связан ни с операторами, ни с провайдерами. Шифрование не производится. Отслеживание онлайн, хранение и использование полностью в ведении работодателя. Как правило, основываясь на данных таких программ, работодатели пытаются контролировать, что сотрудники делают в рабочее время. Насколько применимы данные, например, для официального увольнения, поговорим позже.
Методы слежки: защита конфиденциальности
Функции DLP: мониторинг и блокирование. В первом случае система просто отслеживает и скидывает подозрительные вещи сотруднику, отвечающему за безопасность, а он это читает и решает, что делать с информацией и отправителем.
Есть специальные программы, которые предотвращают перемещение файлов на любой носитель, будь то флешка, жесткий диск или что угодно.
Обычно средства защиты комбинируют, потому что ни одно не защищает от всех угроз.
Следят только в офисе? Нет!
Если вы унесете рабочий ноутбук домой, информация с него будет считываться точно так же, как и в офисе. Можно установить и такую систему, которая локально сохранит все данные, и потом, как только человек снова придет на работу и подключится к сети, они тут же считаются.
Если вы сидите в интернете с телефона через рабочий Wi-Fi, система воспринимает его как обычный компьютер, еще один узел. Все, что вы посылаете через WhatsApp или через любое самое защищенное приложение, может быть прочитано. Раньше DLP-решения плохо справлялись с шифрованным трафиком, но современные системы могут прочитать практически все.
Для таких случаев есть решения по контролю привилегированных пользователей (CyberArk, Wallix). Они записывают сессию, позволяя следить, что делает пользователь, подключившийся удаленно. Кроме того, вместе с «официальными» рабочими приложениями из корпоративной сети можно запросто скачать и какого-нибудь «шпиона» (если работодатель или его безопасники совсем параноики).
З ащите важной информации, не подлежащей разглашению, приходится уделять большое внимание как частным лицам, так и многим фирмам. Утечка секретных сведений оборачивается потерей клиентов и снижением доходов. Злоумышленники могут овладеть ценной информацией, нанести урон репутации граждан, получить доступ к банковским счетам, частным и государственным секретным документам. Для защиты конфиденциальной информации, предотвращения ее использования в незаконных или преступных целях используют технические средства.
Информационная безопасность и ее особенности
Конфиденциальной информацией считаются персональные данные граждан, секреты коммерческой деятельности фирм, служебные и государственные тайны, материалы судопроизводства.
Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов. Безопасность достигается путем ограничения доступа к секретным данным, сохранения их достоверности и целостности в процессе работы с уязвимой информацией.
Существует несколько возможных каналов утечки ценной информации. Прямые каналы утечки информации – это непосредственное копирование важных документов или нарушение коммерческой тайны.
К косвенным относят:
Виновниками разглашения персональной информации зачастую становятся социальные сети. Нередко в Интернет попадают материалы с информацией о личной жизни, семейных тайнах граждан. Мошенники могут получить доступ к электронным кошелькам. Чтобы защищиться, приходится использовать сложные пароли и принимать другие меры безопасности.
Существуют различные приемы похищения информации: акустические (подслушивание), оптические (видеосъемка). Для перехвата данных могут быть использованы электромагнитные, электронные и другие устройства.
Для компаний, нуждающихся в защите ценной информации, разработаны специальные системы защиты информации класса DLP (Data Loss Prevention). С их помощью можно узнать, кто работал с секретной информацией и куда ее передал. Оценивается степень защищенности информации и риск утечки.
Как обеспечивается безопасность
Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:
1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.
2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.
3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.
4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.
Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.
Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.
Элементы информационной безопасности
Для эффективной защиты информации проводится комплекс правовых, организационных, программно-аппаратных, инженерно-технических и криптографических мероприятий.
Правовые действия
Контролируется соблюдение юридических норм информационной безопасности, устанавливаются правовые отношения между фирмой, владеющей ценной информацией, и государством. С помощью служебных проверок выявляются факты разглашения информации персоналом.
Проверяется наличие документов, касающихся заключения трудовых соглашений, контрактов, инструкций по работе с секретной информацией.
Проводится работа с персоналом по поводу ответственности за несанкционированное уничтожение документов с важной информацией, передачу ложных сведений, разглашение служебных тайн.
Новым сотрудникам разъясняют особенности информационной безопасности и требования конфиденциальности. При подписании контракта берется письменное согласие на соблюдение ограничений и правил обращения со служебной информацией.
Организационные меры
Включают действия, направленные на обеспечение безопасного режима работы фирмы, пользующейся секретной информацией:
- Создание службы безопасности. Назначение конкретного лица, ответственного за выдачу материалов сотрудникам, пользующимся конфиденциальной информацией. Обеспечение охранных служб необходимыми программами защиты информации;
- Составление списка особо важных бумажных и электронных документов, а также перечня материалов с ценной информацией;
- Введение разрешительной системы допуска сотрудников к материалам разной степени секретности, осуществление контрольных проверок обращения с засекреченной информацией;
- Разработка методик отбора персонала для работы с секретами, знакомство работников с инструкциями по использованию и защите секретной информации;
- Предупреждение возможности случайного или умышленного нарушения сотрудниками установленного порядка работы с конфиденциальной информацией;
- Разработка системы защиты важных сведений во время проведения совещаний, мероприятий по обмену информацией с представителями другой организации, встреч со СМИ и т. д.;
- Проверка помещений, предназначенных для работы, требующей обмена секретной информацией, проведение лицензирования средств, обеспечивающих конфиденциальность, сертификация средств обработки конфиденциальных данных;
- Введение пропускного режима, внедрение методик идентификации сотрудников и посетителей. Обеспечение охраны территории, оборудования и персонала, владеющего ценной информацией;
- Создание инструкций по защите секретных материалов при возникновении экстремальных ситуаций;
- Организация эффективной защиты компьютеров, локальных сетей, а также управление всей системой информационной безопасности и оценка эффективности принятых мер.
Инженерно-технические мероприятия
Охрана конфиденциальной информации осуществляется с помощью дорогостоящих технических средств и специальной аппаратуры. Это позволяет предотвратить незаконное похищение и рассекречивание сведений злоумышленниками. Организации, владеющие важной информацией, оснащаются приборами слежения и прослушивания.
К инженерно-техническим мерам безопасности относятся:
- Установка ограждений, решеток, стальных дверей с кодовыми замками, а также использование идентификационных карт, оборудование сейфов;
- Устройство сигнализации (в том числе противопожарной). Установка электронных средств оповещения о проникновении на объект посторонних лиц и попытке завладения секретной информацией;
- Применение аппаратуры для обнаружения подслушивающих устройств, скрытых видеокамер и других разведывательных приспособлений;
- Установка приспособлений, обеспечивающих защиту важных документов и материалов при попытке их выноса за территорию предприятия;
- Использование программно-аппаратных способов защиты информации, хранящейся в компьютерах и других электронных устройствах. При этом используются программы идентификации, аутентификации, аудита и специальные методики передачи информации (туннелирование, шифрование). Программы позволяют входить в информационную систему только тем сотрудникам, которые владеют специальными кодами и паролями. Проводится биометрическая идентификация. Фиксируется время входа в систему и пользования секретной информацией. В случае обнаружения несанкционированного проникновения в информационную систему программа автоматически перекрывает доступ к материалам.
Криптографические приемы
Для сохранения в тайне конфиденциальной информации, передаваемой открытым способом (по почте, факсу, незащищенным интернет-каналам) вырабатываются условия взаимного доверия.
Пример
К криптографическим мерам обеспечения информационной безопасности относятся также:
Выбор методик
Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет.
В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации. Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений.
В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.
В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ.
Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.
Порядок обеспечения информационной безопасности
При осуществлении защиты засекреченной информации соблюдается следующий порядок действий:
- Составляется перечень коммерческих тайн и сведений, не подлежащих разглашению. При этом учитывается необходимость проведения охранных мероприятий в смежной организации, имеющей доступ к подобным сведениям;
- Разрабатываются способы хранения информации (использование электронных носителей, бумажных документов, технических средств обработки). Выделяются помещения и оборудование для хранения документов с ценной информацией, составляется список ответственных лиц;
- Проверяется эффективность принятых мер.
Повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств. Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях. Важно постоянно анализировать эффективность информационной защиты и совершенствовать методику ее проведения.
Компании устанавливают наблюдение, чтобы контролировать работу персонала и защититься от преступлений. Но сотрудники должны знать о камерах и прослушке, и дать свое согласие на слежку. Разобрались, как наблюдать за сотрудниками и не нарушать закон.
Еще о сотрудниках:
Следить за сотрудниками — это законное право работодателя
Конституция говорит, что каждый имеет право на тайну личной переписки и телефонных переговоров. Ограничить это право может только суд. Но это касается только личной жизни, на работе другие правила.
Работодатель имеет право следить, как сотрудники выполняют обязанности и используют рабочее оборудование. А еще обязан заботиться о жизни и здоровье сотрудников.
Работодатель может заходить на производство и смотреть через плечо, как токарь вырезает детали, контролировать технику безопасности и особенности технологических процессов, чтобы избежать травм на производстве. А может поставить видеокамеры и следить за процессами на мониторе — разницы нет.
К оборудованию относятся и станки в сварочном цеху, и рабочая электронная почта, и касса, и рабочий телефон. Приходить на работу вовремя — это тоже обязанность сотрудника, и работодатель может это контролировать.
Зачем нужно следить за сотрудниками
За сотрудниками можно наблюдать, чтобы выявить слабые места в организации рабочего процесса, контролировать общение с клиентами, вычислять нечестных людей. Еще контроль нужен, чтобы защитить компанию и работников от корпоративного шпионажа, мошенничества, преступлений и травм на производстве.
Ситуации бывают разные:
Бариста постоянно опаздывает, и кафе теряет утренних посетителей, которые по дороге на работу спешат выпить кофе. Или в кассе стали пропадать деньги, и нужно найти, кто их забирает.
В частной клинике стоит дорогое оборудование. Сотрудники могут его сломать или перепутать анализы.
Сотрудники отдела продаж не предлагают клиентам дополнительные услуги и продажи падают. Нужно проследить, чтобы они работали по скриптам.
Есть несколько способов контролировать работу сотрудников:
- видеокамеры. По камерам видно, чем работники занимаются на местах и во сколько уходят с работы. Видеонаблюдение также используют, чтобы следить за кассой или на случай конфликта с клиентом
- системы доступа. Они считывают отпечаток пальца или личную карточку сотрудника. Так можно узнать, кто опаздывает на работу и часто бегает покурить;
- компьютерные трекеры. Эти штуки следят за интернет-трафиком, блокируют соцсети, считают время на развлекательных сайтах, записывают телефонные разговоры;
- джипиэс-трекеры. Нужны, чтобы отслеживать маршрут автомобиля, время за рулем и расход топлива.
Теперь подробнее о каждом способе.
Следить через камеры
Закон дает право устанавливать видеонаблюдение на рабочем месте: в торговом зале, офисе или над прилавком. Нельзя наблюдать за сотрудниками в их личное время — в столовой, когда они ходят на обед, на перерывах в курилке, душевой или туалете.
Чтобы законно наблюдать за сотрудниками через камеры, нужны выпустить положение о видеонаблюдении и прописать условия в трудовом договоре.
Для старых сотрудников подойдет дополнительное соглашение к трудовому договору, новым дают уже готовый договор с пунктом о наблюдении. Сотрудники читают положение и расписываются в журнале ознакомления персонала с регламентом о введении видеофиксации. Подпись подтверждает, что им всё понятно и они согласны на съемку.
Предупредить сотрудников о начале видеофиксации и подписать дополнительное соглашение к трудовому договору нужно за два месяца до того, как начнут действовать новые правила.
Видеосъемку можно использовать, чтобы улучшить бизнес-процессы.
Работодатель видит, что в обеденное время в кофейне собираются очереди. Оказывается, сотрудники долго ищут сдачу и деньги на размен, потому что в кофейне нет терминала. Владелец бизнеса ставит терминал: видеонаблюдение помогло сократить очереди.
С помощью видеосъемки можно доказать нарушения: прогулы, воровство, хамское отношение к клиентам или употребление алкоголя на рабочем месте. За нарушение можно уволить по статье, а если сотрудник решит оспорить увольнение, видео станет доказательством в суде. Вместе с видеозаписью суд попросит доказать, что сотрудники дали согласие на съемку и знали о наблюдении.
Записи с камер нельзя использовать в личных целях. Нельзя выкладывать ролики в интернет, чтобы посмеяться над чьей-то оплошностью, или передавать видео посторонним.
Владелец компании в Краснодарском крае установил камеры видеонаблюдения в офисе. Сотрудницы решили, что съемка нарушает их конституционное право на неприкосновенность частной жизни. Они не знают, где расположен сервер, на который идёт запись, и при каких условиях хранится отснятая информация, снимаются ли копии с данных видеоматериалов, и в каких целях будут использованы отснятые видеоматериалы. В иске работницы указали, что после установки камер у них ухудшились условия труда, работоспособность и здоровье. По их словам, они переодевались в кабинете, принимали лекарства и делали личные звонки, и их поведение на рабочем месте подпадает под определение персональных данных.
Суд посчитал установку видеонаблюдения правомерной, а требования сотрудниц отклонил.
Компании, которая установила видеокамеры, не нужно регистрироваться как оператор персональных данных.
Видеозаписи могут просматривать ответственные за это сотрудники, их указывают в регламенте видеофиксации. Если в торговом зале кого-то обокрали и преступление попало на камеры, видео можно передавать полиции. Нельзя выкладывать видеозапись в интернет, даже если это поможет опознать преступника. В некоторых случаях это может помешать следствию, а еще нарушает права сотрудников.
Отслеживать интернет-трафик и читать переписку
Чтобы следить за рабочим оборудованием, согласие сотрудника не нужно. Поэтому можно прослушивать рабочие телефоны и проверять компьютеры. Личную технику прослушивать нельзя , даже если ее используют для работы.
Андрей в рабочее время с рабочего компьютера зашел в личную почту и стал переписываться с подругой. Работодатель увидел это в программе и выписал штраф. Андрей возмущен: нарушена тайна его личной переписки. Но в этой ситуации он неправ — пользоваться рабочим оборудованием в личных целях нельзя.
Если компания не установила строгие правила, работодатель не может просматривать личную переписку.
Сотрудник в рабочее время использовал корпоративную почту и личный почтовый ящик. С помощью программ слежения работодатель заметил, что сотрудник разглашает коммерческую тайну, и уволил его. Сотрудник не согласился, пришлось судиться.
Суд принял переписку с личной почты как доказательство и не посчитал это нарушением личных границ.
Отмечать время ухода и прихода на работу
Для систем учета и трекеров согласие сотрудников не нужно. Можно отмечать время вручную в журнале или ставить системы учета на входе в офис.
Журнал учета должен вести один из сотрудников. Он отмечает время прихода и ухода, а сотрудники расписываются, что всё верно. С журналом удобно считать переработки и отгулы.
Системы доступа считывают отпечаток пальца или карточку — прикладываешь к датчику и проходишь. С такими системами можно проверить график работы, количество перекуров и отлучки сотрудников. Еще они следят, чтобы в офис или цех не зашли посторонние.
Отслеживать передвижения
Работодатель имеет право отслеживать передвижения по джипиэс. Правило касается рабочих автомобилей и личных, если компания оплачивает сотруднику амортизацию и бензин. Трекер показывает, где была машина в определенный момент, и по какому графику работал водитель. Еще можно устанавливать трекер на рабочий мобильный телефон, если сотрудник работает на выезде, но без автомобиля.
С топливом немного сложнее: опытные водители умеют сливать бензин, а недостачу оправдывают особенностями работы двигателя. Но зато работодатель может увидеть, что водитель уже 12 часов за рулем и подвергает опасности свою жизнь и груз.
Чтобы было проще понять, собрали все способы слежения за сотрудниками в одну таблицу:
Читайте также: