Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Как легально контролировать переписку сотрудников через бесплатную почту

НСК-СБ

Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
14 Июль 2011
Сообщения
3.180
Реакции
2.181
Баллы
613
Адрес
Новосибирск
Как легально контролировать переписку сотрудников через бесплатную почту

РОМАН ИДОВ,
аналитик компании SearchInform​
Использование бесплатных почтовыхсервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства.

Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, все дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса» − все дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфонами и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуется бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью их работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки.

Обычно главное, на что обращает внимание руководство, это «несолидность» использования адресов не на корпоративном домене. Что и говорить: если компания претендует на лидерство в том или ином сегменте рынка и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на «…@mail.ru» выглядят, скажем прямо, достаточно странно. Хотя многие производители продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с ее утечками.
Как контролировать почту сотрудников.jpg

За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозойтеперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас.

Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важное письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть те самые бесплатные сервисы электронной почты), необходимо контролировать их использование.

Первая мысль, которая приходит в голову, – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Вовторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов.

Это очень удобно делать с помощью DLP-системы – специального программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из нее. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле такая система является универсальным средством выявления неправомерных действий сотрудников.

Суть работы таких систем состоит в создании защищенного информационного «контура», на границах которого производится перехват и мониторинг всего исходящего трафика, а в наши дни еще и входящего. Под трафиком, надо сказать, здесь подразумевается не только интернет-трафик, а также и документы, которые передаются за пределы защищаемого «периметра безопасности» на внешних носителях, распечатываются на принтере, отправляются на мобильные носители через блютуз и т. д.

При этом определение уровня конфиденциальности документа, который система нашла в перехваченном трафике, может вестись двумя способами: с помощью анализа специальных маркеров документа (естественно, документ должен быть помечен таким маркером заранее), либо путем анализа содержимого документа. Способы могут комбинироваться, но все-таки второй вариант в настоящее время максимально распространен, потому что добавление специальных маркеров не решает проблем, связанных с переводом информации в другой формат, и т. п.

Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т. е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов подключения к Интернету.

Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников.

Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

farts5

Зарегистрированный
Регистрация
25 Апрель 2020
Сообщения
1
Реакции
1
Баллы
3
Возраст
42
Адрес
russia
Мы просто отрубили возможность использования других сервисов, кроме "чистых" с помощью шлюза. Раньше у нас стоял FortiGate, все устраивало. Но после ввода закона о запрете использования иностранного ПО пришлось искать отечественный аналог. Купили Traffic Inspector Next Generation. Работает как часы. Раз специалист SmartSoft приехал, установил, настроил и все, мы больше шлюза не касались. На данный момент полностью обеспечивает все потребности компании
 
  • Нравится!
Реакции: НСК-СБ

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Матушкин Андрей Николаевич

Президент IAPD
Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
1 Январь 1970
Сообщения
22.025
Реакции
3.773
Баллы
113
Возраст
53
Адрес
Россия,
Веб-сайт
o-d-b.ru
Мы просто отрубили возможность использования других сервисов, кроме "чистых" с помощью шлюза. Раньше у нас стоял FortiGate, все устраивало. Но после ввода закона о запрете использования иностранного ПО пришлось искать отечественный аналог. Купили Traffic Inspector Next Generation. Работает как часы. Раз специалист SmartSoft приехал, установил, настроил и все, мы больше шлюза не касались. На данный момент полностью обеспечивает все потребности компании
С днём рождения.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Похожие темы

До нового года осталось