In English

Корпоративный контроль

06.11.2001
Издание: iBusiness.ru
В США, Великобритании и некоторых других странах контроль над поведением сотрудников различных организаций как со стороны руководства, так и спецслужб довольно популярен. А в свете последних событий контроль становится все более жестким и "бесконтрольным" для судебных ведомств. Совсем недавно прошли слушания по электронному надзору за работниками исполнительной ветви власти в США. Председатель комитета по автоматизации и технологии Эдвин Нельсон выбросил из предложения пункт об использовании работниками Интернета, где им отказывали в праве на приватность при использовании государственного офисного оборудования, Интернета и электронной почты.

В России государственные ведомства, как правило, вообще лишены Интернета, а в таких организациях, как МПС, стоит один компьютер для выхода в Интернет и параллельно существует изолированная внутренняя сеть. Но если на Западе большинство фирм идет по стопам своих властей, в России существует мнение, что компании в большей степени полагаются на высокие моральные качества своих сотрудников и преданность общему делу. Так ли это, предстояло выяснить в опросе ряда ведущих ИТ-компаний.

Во многих компаниях контроль над сотрудниками действительно сводился в основном к нетехническим средствам. Так, менеджер компании "ПТТ-Теле-порт" по связям с общественностью Артур Алекперов сообщил, что они этой проблемой серьезно не занимались: "Что касается нецелевого использования рабочего времени, даже если сотрудники хотели бы это сделать, у них не нашлось бы для этого времени". А Алексей Проничев, генеральный директор "Арсеналъ", так описывает политику компании: "В "Арсенале" ограничивается только объем трафика в месяц, варьируемый в зависимости от обязанностей сотрудника. Трафик, превышающий установленный лимит, сотрудник оплачивает из своего кармана по себестоимости. Есть также ограничения на порноресурсы, накладываемые на весь холдинг "АйТи", в который входит "Арсеналъ". На мой взгляд, это уже и так много. Повышению эффективности работы сотрудников, конечно, нужно уделять внимание, но методы, я думаю, должны быть экономические, а не технические. Намного правильнее создавать в компании систему мотивации и контроля результатов работы каждого".

Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", также считает, что большинству компаний незачем следить за сотрудниками: "Если исключить сферу банковских технологий, государственных учреждений и других организаций, где необходима полная и безоговорочная секретность и максимальное устранение возможности утечки информации, то, на мой взгляд, наличие жесткого контроля над сотрудниками - признак нездорового коллектива. 'Нет, я не имею в виду такие традиционные меры, как разграничение прав доступа к сетевым ресурсам или использование межсетевых экранов, но обращаю внимание на просмотр переписки, контроль посещаемых сайтов и т. п. Известная степень доверия к сотрудникам является неотъемлемой частью нормальной корпоративной культуры. В конце концов, если сотрудник быстро и качественно выполняет свои обязанности, к чему задаваться вопросом, чем он занимается на своем компьютере, если это не наносит ущерба компании?"

Безусловно, это не единственная точка зрения. Во многих компаниях используют технические средства контроля, причем не скрывают этого от рядовых сотрудников, а также вполне логично объясняют. А в некоторых фирмах, преимущественно специализирующихся на безопасности, технические средства контроля над сотрудниками считают неотъемлемой частью эффективно работающей корпоративной системы.

Многие компании стараются обезопасить себя различными сводами правил, которые позволяют совершенно законно контролировать поведение сотрудников. Обычно такие правила вполне разумны, логичны и не вызывают возражений пользователей корпоративных сетей.

Дмитрий Лощинин, генеральный директор Шхотт.: "Мы стараемся строить свою работу на принципах взаимного уважения и доверия и стимулировать работу сотрудников другими способами, не "полицейскими". Каждый новый сотрудник проходит адаптационный курс, в процессе которого его знакомят с основными принципами нашей корпоративной культуры, и в том числе с правилами и ограничениями использования электронной почты и Интернета. Также все сотрудники подписывают соглашение о нераспространении конфиденциальной информации. Это отнюдь не означает, что вся входящая и исходящая почта тщательно досматривается. Безусловно, механизмы контроля почтовых сообщений и обеспечения информационной безопасности у нас есть. Электронные письма имеют статус бумажного документа и могут быть использованы для разрешения, например, конфликтной ситуации, равно как и запись телефонного разговора. Речь не идет о тотальном контроле, но такие вещи, как переговоры, обсуждение условий контракта и т. д. должны документироваться во избежание недопонимания и связанных с этим проблем".

В "Вымпелкоме" внутреннему своду правил пользователя также уделяют серьезное внимание. Дмитрий Устюжанин, начальник отдела информационной безопасности компании, рассказывает: "Наша позиция - честный и открытый диалоге сотрудниками на эту тему. Западные специалисты советуют не скрывать и не замалчивать вопросы контроля над действиями персонала. Мы, следуя этим рекомендациям, приняли "Правила пользования услугами информационных технологий", в которых позиция руководства четко и ясно обозначена. Эти Правила, наряду с "Обязательством о неразглашении", подписывают все принимаемые на работу и использующие услуги ИТ сотрудники. Кроме того, в компании создается "Кодекс корпоративных политик", в котором, в частности, освещаются вопросы использования электронных коммуникаций. Это документы, прививающие пользователям определенную культуру использования информационных технологий". "Инфосистемы Джет", "Информзащита", СР5 и многие другие компании также используют документированные внутренние правила для регламентации работы за компьютером. Во-первых, они позволяют донести до сотрудников причины такого поведения руководства. Как говорится, кто предупрежден, тот вооружен, и не полезет на порносайт. А для выноса конфиденциальной информации придумает другой способ. Во-вторых, что также немаловажный факт, такой документ, подписанный сотрудником, защищает руководство компании от обвинения в нарушении 138-й (нарушение тайны переписки) и 137-й (нарушение неприкосновенности частной жизни) статей УК РФ, а также статьи 139 (служебная и коммерческая тайна) ГК РФ.

Например, в компании "Инфосистемы Джет" сотрудник может заниматься всем, что не запрещено правилами. Если у него есть на это время. Есть некоторые ограничения по трафику, которые снимаются в вечернее время. Контролируется использование каналов с точки зрения их загруженности. Существуют ограничения на пересылку по РТР. Но в конечном итоге все регламентирует свод правил, о котором сотрудники осведомлены. Александр Таранов, начальник отдела интранет-технологий компании "Инфосис-темы Джет", считает так: "Люди на работе используют электронную почту, частично для личных целей. Запрещать ее "нецелевое" использование не совсем разумно. Вопрос в балансе служебных и неслужебных проблем. Вопрос и в том, что можно вольно или невольно сообщить конфиденциальную информацию. Невозможно ограничить сотрудников, обязательно будут побочные письма, важно, чтобы это не мешало работе сотрудника и не перегружало работу системы, не мешало работе организации".

Есть компании, которые также планируют в ближайшее время разработать подобные правила или используют "неписаные" правила, которые достаточно либеральны.

Так, Настасья Савина, руководитель службы информации, рекламы и связей с общественностью компании АВВУУ, рассказала о таких правилах: "!СС> запрещена для использования в офисе, поскольку это самый простой способ отвлечь сотрудника от выполнения его прямых обязанностей. Кроме этого, на каждого сотрудника, в зависимости от его обязанностей, есть некая квота на трафик, переработав который, он вынужден доплачивать из своего кармана. Но основной стимул для сотрудников - пул заданий, который дается работнику его непосредственным начальником: не рекомендуется уходить домой, не выполнив задания. Поэтому у сотрудника есть два пути: читать анекдоты и уходить домой в 10 вечера, или усердно работать и уходить в 6. Оба пути вполне легитимны в компании. Каких-либо действий, предполагающих перлюстрацию или архивирование почтовых сообщений, не предусмотрено. У нас еще регистрируется время нахождения сотрудников в офисе, поэтому в сложных случаях можно обратиться к архиву с информацией о "посещаемости"".

Директор по персоналу компании "Оптима" Алексей Аршинов также не сторонник загонять сотрудников в какие-то рамки: "Политика компании по этому вопросу такая: нет жестких требований по контролю использования информационных ресурсов не в интересах выполнения служебных заданий. Необходимость проверки возникает лишь в тех случаях, когда почтовый ящик сотрудника или его личный файл раздувается до слишком больших размеров. В целом, мы достаточно демократичная компания, в которой работает очень много творческих и талантливых людей, поэтому мы не пытаемся загнать их в какие-то рамки. А в общем главное - это выполнение служебных обязанностей сотрудниками, и если они успевают пользоваться Интернетом в личных целях, при этом успешно выполняя свои функции, зачем им мешать?"

С другой стороны, и в "Оптиме", и в АВВУУ понимают, что Сеть может послужить и для утечки конфиденциальной информации. В АВВУУ есть два способа борьбы с этим. Во-первых, каждый сотрудник АВВУУ при поступлении на работу подписывает договор о неразглашении.

Во-вторых, в компании есть несколько уровней конфиденциальности информации, и разные сотрудники, соответственно, имеют разные права доступа. Кстати, в западных офисах компании существуют такие же правила. Настасья Савина тоже невысоко оценивает эффективность перлюстрации: "Мы не используем перлюстрацию как средство контроля над персоналом. Эффективность сотрудников оценивается по их результатам руководителями, а не из соображений "сколько времени посвящено работе". Результаты, которые ожидаются от сотрудников, достигаются при максимальной нагрузке. Мы никому "средних" целей не ставим, только самые высокие, и если человек не справляется, не важно почему: отвлекается ли он наличную почту или просто неспособен - его рост в компании останавливается. А иногда он просто увольняется".

А вот исполнительный директор АВВYY Украина Григорий Липич считает немного по-другому: "Если речь заходит о таких вещах, как перлюстрация, ограничение доступа, мониторинг работы сотрудников, применение этих методов контроля должно быть адекватным ситуации. В принципе, поскольку компания является владельцем компьютеров и коммуникационных систем, которые используются ее сотрудниками в работе, она вправе контролировать, как и для чего используются эти ресурсы. Также следует учитывать тот факт, что современные сред-ства телекоммуникаций делают возможности утечки важной коммерческой информации вполне вероятными, если в организации не используется система ограничения прав доступа. Следовательно, применение упомянутых методов контроля оправданно".

Есть руководители компаний, которые считают, что контроль необходим, причем во всех его проявлениях. Сергей Фенев, генеральный директор СРВ, советует особое внимание удел ять электронной почте: "При настройке корпоративного почтового сервера руководству стоит задуматься (но не афишировать этот факт) о том, что следует создать архив всей переписки, проходящей через него, используя соответствующие настройки сервера. Кроме этого, можно рекомендовать на поток почты на уровне брандмауэра поставить соответствующие программные фильтры на такие ключевые слова как, например, "резюме", "порно" - список можете продолжить сами. В частности, может быть использован продукт МаНСеаг производства Бутаптес". Кроме этого, Сергей Фенев советует использовать программу 01а1Ехрегт., которая позволяет проводить анализ телефонного трафика компании, взаимодействуя с офисной АТС.

Сергей Гирин, заместитель директора "Лаборатории ППШ", считает: "Нельзя использовать отдельные программы и утилиты для контроля над сотрудниками, надо строить грамотную комплексную систему защиты информации, которая затрагивает все аспекты работы предприятия, в том числе проблемы утечки информации и эффективности труда. А если во внутренней сети или на отдельном компьютере есть конфиденциальная информация, то самый тривиальный совет такой : обойтись без подключения к Интернету. Если же без него нельзя - запасайтесь анальгином, терпением, мешком с деньгами и не стремитесь заниматься "самолечением" - обращайтесь к специалистам, желательно аттестованным Гостехкомиссией".

Таким образом, очевидно, что отношение к контролю над сотрудниками во всех компаниях различно, причем нельзя разделять степень потребности в контроле по вертикальным рынкам.

ИльяТрифаленков, начальник отдела проектирования корпоративных систем компании "Инфосистемы Джет": "Есть некоторое деление по вертикальным рынкам, незначительное. Более существенная разница в типе контроля. Госпредприятия заинтересованы в конфиденциальности информации, банки - в целостности, а АСУ ТП и телекоммуникации - в доступности. Основное же деление осуществляется по размерам предприятия и по важности информационной системы для его деятельности".

Вообще рынок средств технического контроля в России достаточно узок, несмотря на огромный ассортимент. Ведь средства контроля есть и в промышленных СУБД, и в системах интеграции, и в системах безопасности, и в ОС. По словам Ильи Трифаленкова, любая информационная система должна содержать средства контроля: "Реально защищенная система - только та, в которой все действия сотрудников могут быть проконтролированы. Требование к подотчетности всех пользователей - базовое требование любой безопасной системы. Важно представлять рамки и разумность контроля. А реализовать контроль нетехническими средствами, т. е. осуществлять контроль тех же электронных писем вручную в большой организации невозможно. Хотя мне известно, что в некоторых организациях пытаются осуществлять именно "ручной" контроль. Но надо понимать, что чем крупнее компания, тем разумнее внедрять технические средства контроля".

Размеры рынка средств аудита оцениваются очень расплывчато - примерно в 20-30% от 15-30-миллионного рынка средств информационной безопасности. Так, инструментов перлюстрации на рынке представлено всего два, причем один из них отечественный. Примерно год назад компания "Инфосистемы Джет" разработала продукт "Дозор Джет", который позволяет производить практически все действия с корпоративной электронной почтой, в том числе автоматизирует перлюстрацию и фильтрацию сообщений. Вторая программа - Мailswеерег из семейства средств контроля содержания М!МЕswеерег компании Ваltimore, продвижением которого на российский рынок занимается "Информзащита". Оба продукта достаточно похожи, с той лишь разницей, что "Дозор Джет" сертифицирован Гостехкомиссией.

По словам представителей всех компаний, продвигающих средства аудита, их рынок весьма перспективен, растет даже быстрее, чем рынок ИТ. Если сравнивать российский рынок аудита с западными, объемы в относительных долях рынков ИТ и аудита практически одинаковые. Но отставание все же есть. Не в средствах аудита -они по возможностям практически одинаковые. Отставание скорее в "дозревании". Когда российская компания достигает размеров, требующих внедрения систем безопасности, которые по определению подразумевают средства контроля, наступает момент "замедленного принятия решения". Этому способствует небольшая распространенность и "узнаваемость" средств контроля, отчасти - моральные проблемы руководства.

Еще один фактор, как ни странно, - особенность российских предприятий. Если в западных странах структура компании и бизнес-процессы формализованы и стандартизированы, "все привыкли ходить строем", то в России не так просто найти две компании, которые ведут даже бухгалтерию по общим стандартам. На Западе средства контроля, как правило, "коробочные", а в России каждый клиент требует индивидуального подхода. Возникает необходимость в дополнительных трудовых и финансовых затратах. А для иностранных продуктов, например осуществляющих перлюстрацию, еще и в адаптации к не самому легкому русскому языку.

Зато наша юриспруденция облегчает жизнь продуктам. Илья Трифаленков говорит: "Во всех средствах работы с электронной почтой, рассчитанных на западного потребителя, есть возможность прикрепления некоего "дисклей-мера", в котором сказано, что мнение, выраженное в данном письме, не является мнением компании, а только отдельно взятого сотрудника. Такого в России нет и, по нашему мнению, будет не скоро, а может и вообще не будет".

Илья Трифаленков также считает, что отношения в отечественных компаниях заведомо менее формализованы и ориентированы на проявление собственной инициативы.

Продолжая аналогии между российским и западными рынками, уместно привести мнение Алексея Лукацкого, заместителя директора по маркетингу "Информзащиты": "В России сейчас просыпается интерес к этим средствам. А все потому, что, как я уже сказал, руководители начали понимать, что они могут потерять большие суммы денег или даже престиж компании вследствие всего лишь одного письма, содержащего компрометирующие или конфиденциальные материалы. Поэтому проще инвестировать небольшие средства в системы защиты, чем расхлебывать последствия их невнедрения".

А вот представители компаний, не занимающихся информационной безопасностью, не всегда согласны с такой точкой зрения. Так, Алексей Аршинов, ссылаясь на совет директоров и западный опыт, считает: "Силы и средства, затрачиваемые на подобный контроль, значительно превысят ущерб от использования Интернета в неслужебных целях. В этом случае овчинка просто не стоит выделки".

Григорий Липич также уверен, что есть более дешевые способы влияния на сотрудников: "Мы стараемся поддерживать лояльность сотрудников на хорошем уровне, так как борьба с агентом, который работает против фирмы изнутри, может оказаться трудным и дорогим занятием".

Что же касается самих сотрудников, судя по опросу на сайте "Инфобизнеса" и некоторых знакомых, отношение к контролю над ними примерно такое же, как и у их руководителей. То есть "за", "против" и "воздержались" по 33%. Наверно, такие же пропорции будут и если попытаться выяснить, кто в каких целях использует рабочее время. Так что, наверное, лояльность и самосознательность сотрудников не менее важны, чем боязнь быть застуканным за тайной перепиской.

Тем более что системы контроля зачастую необходимы и для защиты сотрудников от внешних угроз. Дмитрий Лощинин так объясняет необходимость подобных систем: "Как правило, подобные системы, например прослушивание телефонов, используются для документирования переговоров, как средство защиты от возможных проблем, связанных с неверным толкованием слов или, что иногда тоже случается, неэтичных действий другой стороны". А по мнению Алексея Лукацкого, "неэтичные" действия другой стороны более действенны в России, чем в других странах: "В российских условиях сотрудники получают мизерную зарплату, и любой конкурент, немного заплатив, может получить конфиденциальную информацию. Помимо низкой зарплаты на желание сотрудников передать "на сторону" важные данные может повлиять обида на руководство, отсутствие движения по служебной лестнице и даже незнание или отсутствие политики безопасности, в которой описывается, какая информация является конфиденциальной. Даже на Западе по статистике 31% компаний сталкивается с утечкой информации - что уж говорить о России! Для предотвращения необходимо, во-первых, иметь утвержденный руководством список сведений, составляющих конфиденциальную информацию.

Во-вторых, приказом должна быть утверждена ответственность за разглашение такой информации. Зачастую этих организационных мер достаточно для того, чтобы сотрудники не делали ничего "плохого". Дополнительной, но не лишней мерой является применение технических средств контроля содержания".

Попытка нарисовать картину использования средств контроля в российских компаниях натыкается на диаметрально противоположные мнения. В принципе, по словам западных экспертов, моральные аспекты присутствуют и тут и там примерно в равных долях, и вообще все очень похоже. Но в России заметно меньше, сложней и "размытей". А самый популярный ответ руководителей ИТ-компаний на вопрос о контроле был очень интересным: "Да мои сотрудники работают с утра до вечера, недосуг им всякой фигней заниматься". И непонятно, то ли руководители близоруки, это ли работники отличные.

Центральный федеральный округ