Интернет. Браузеры. Программы. Ноутбук. Компьютеры
  • Главная
  • Сервисы
  • Регламент пользования корпоративной электронной почтой. Инструкция по работе с корпоративной электронной почтой. Цель проведения конкурса

Регламент пользования корпоративной электронной почтой. Инструкция по работе с корпоративной электронной почтой. Цель проведения конкурса

18.04.2024 Сервисы

Александр Синельников, менеджер по продвижению продуктов компании "Инфосистемы Джет"

ЭЛЕКТРОННАЯ почта сегодня - это дешевый и удобный канал связи для получения информации извне и способ ее распространения между сотрудниками компании. Она позволяет оперативно управлять бизнес-процессами, но вместе с тем является одним из наименее защищенных ресурсов корпоративной информационной системы.

Отсутствие контроля над использованием электронной почты сотрудниками компании со стороны руководства или сотрудников службы безопасности порождает ряд серьезных проблем: утечка конфиденциальной информации, распространение по локальной сети организации компьютерных вирусов и спа-ма, использование сотрудниками корпоративной почты в личных целях. Последнее приводит к потере сотрудниками рабочего времени, перегрузке каналов передачи информации и, как следствие, неоправданному росту стоимости их содержания. Для решения этих проблем необходимо использовать комплекс организационно-технических мер контроля корпоративной электронной почты.

Необходимость внедрения именно комплекса мер обусловлена тем, что одни только организационные меры неэффективны. Недостаточно создать политику использования корпоративной электронной почты, издать приказ или распоряжение, ознакомив с положениями этих документов сотрудников под роспись, необходимо еще иметь возможность контролировать выполнение сотрудниками этих директив техническими средствами, которые включают в себя контроль содержимого писем и ведения архива переписки по электронной почте.

Но в этом случае руководство компании сталкивается с иным риском - юридической ответственностью в части законности проверки почтового трафика и правом сотрудников на тайну личной переписки.

Разберем проблему противостояния работников и работодателей в данном вопросе подробно.

Каждый сотрудник имеет право

Согласно Конституции РФ (ст. 23 Конституции РФ), "каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения".

Именно на эту статью чаще всего ссылаются сотрудники, если возникает вопрос о правомерности контроля переписки, ведущейся по корпоративной электронной почте, телефонных переговоров сотрудников, посещения ими тех или иных Интернет-сайтов со стороны работодателя. То есть законодательство РФ не дает работодателю права контролировать переписку сотрудников и не предусматривает возможностей нарушать ее конфиденциальность. При возникновении конфликтных ситуаций по вопросам использования корпоративной почты сотрудники компании чаще всего ссылаются на ст. 138 Уголовного кодекса РФ, которая гласит:

  1. "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом в размере до 80 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года".
  2. "То же деяние, совершенное лицом с использованием служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом в размере от 100 тыс. до 300 тыс. рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от двух до четырех месяцев".

Однако абонентом телефонной сети, оплачивающим переговоры, является организация - юридическое лицо, а вовсе не ее сотрудники. То же относится и к вопросам использования электронного почтового ящика. Тем не менее многие сотрудники склонны рассматривать эти ресурсы, предоставленные им организацией в качестве инструмента для решения служебных задач, как элемент своей частной жизни.

Каждый работодатель имеет право

Работодатель правомерно считает, что корпоративная электронная почта принадлежит компании. Она должна использоваться сотрудником только для выполнения им служебных обязанностей и не предназначена для ведения личной переписки. Работодатель оплачивает почтовый трафик, используемый сотрудниками в личных целях, и их рабочее время, потраченное на личное общение. Он же будет нести убытки в случае утечки конфиденциальной информации. Все это и объясняется желанием владельца компании контролировать принадлежащий компании ресурс.

Федеральный закон Российской Федерации дает работодателю право контролировать каналы возможной утечки конфиденциальной информации, в том числе и электронную почту сотрудников. В частности, ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" гласит: "Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству Российской Федерации, меры".

Приведем еще ряд законов, которые работодатель может использовать в случае необходимости отстаивания своих прав:

  • Закон РФ от 21.07.03 №5485-1 "О государственной тайне".
  • ФЗ от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и защите информации".
  • ФЗ 27.07.06 № 152-ФЗ "О персональных данных".

Однако несмотря на достаточно большое количество законодательных актов, защищающих права владельцев компаний, руководителям организаций, внедряющим технические средства контроля каналов связи или передачи данных (в том числе и электронной почты), все же хочется знать, как в подобной ситуации не выйти за рамки закона.

Организация контроля корпоративной электронной почты

Тайна переписки распространяется на лиц, участвующих в ее процессе, только при оплате этих средств и услуг оператора связи самостоятельно.

Служебная переписка организуется в производственных целях в рабочее время при помощи технических средств, принадлежащих организации. Если сотрудник включает в этот процесс личные мотивы и цели, то подобные действия можно рассматривать как удовлетворение личных потребностей за счет организации, что, соответственно, попадает под действие УК РФ или КоАП РФ со всеми вытекающими для данного лица последствиями.

То есть вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих данной организации, и по оплаченным ею каналам связи или передачи данных, является служебной, даже если таковая ведется в нерабочее время.

Для того чтобы все вышесказанное имело правовую основу, руководителю организации необходимо выполнить ряд обязательных процедур:

  1. Указать в Уставе организации, кто является собственником всех материальных, технических и интеллектуальных (информационных) ресурсов, в том числе и содержимого служебной переписки, которая осуществляется сотрудниками организации в служебное время и при помощи технических средств, принадлежащих организации.
  2. Создать в организации структурное подразделение ИБ, на сотрудников которого возложить функции контроля соблюдения режима информационной безопасности. Издать "Положение о работе подразделения структурной безопасности". Основной задачей подразделения будет являться контроль технических средств обработки информации и служебных документов организации, к которым относится и служебная переписка. В этом же документе должны быть четко описаны все процедуры контроля исполнения данного Положения: периодичность и средства его проведения, ответственные лица, форма отчетности.
  3. Установить в организации режим коммерческой тайны (согласно ст. 10 ч.1 Закона "О коммерческой тайне"). Руководитель должен издать приказ, определяющий права доступа сотрудников к информации, носящей конфиденциальный характер. Служба безопасности или уполномоченные лица обязаны контролировать соблюдение сотрудниками требований к работе с подобной информацией в целях исключения ее утечки. Отметим, что государство ограничивает права работника в данном вопросе и в том случае, если компания принадлежит частному лицу. Пример такого документа можно найти в справочно-правовой системе ГАРАНТ, набрав в графе "поиск" следующую фразу: "Положение о конфиденциальной информации (коммерческой тайне) открытого акционерного общества".
  4. При заключении с сотрудником трудового договора необходимо включить пункт, по которому работодатель оставляет за собой право контроля деятельности сотрудника на рабочем месте в служебное время, в том числе проверку содержимого служебной переписки, каким бы способом она ни велась (на бумажных носителях, при помощи электронной почты или иным "экзотическим" способом). Кроме того, работодатель имеет возможность включить в данный контракт пункт о запрете использования эксплуатируемых им средств передачи данных или иных технических средств, принадлежащих организации, в личных целях.

3.1. Электронная почта используется для обмена в рамках ИС Организации (внутренняя электронная почта) и общедоступных сетей (внешняя электронная почта) служебной информацией в виде электронных сообщений и документов в электронном виде.

3.2. Для обеспечения функционирования электронной почты допускается применение коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.

3.3. Обеспечение функционирования сервиса электронной почты осуществляется специалистами отдела ИТ.

3.4. Доступ работников Организации к внутренней электронной почте предоставляется при подключении АРМ к ИС Организации. Доступ работников Организации к внешней электронной почте предоставляется при подключении АРМ к сети Интернет.

3.5. При использовании электронной почты необходимо:

3.5.1. Соблюдать требования настоящего Положения.

3.5.2. Использовать электронную почту исключительно для выполнения своих служебных обязанностей.

3.5.3. Перед отправкой сообщения проверять правильность введенного электронного адреса получателя.

3.5.4. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.

3.6. При использовании электронной почты запрещено:

3.6.1. Использовать электронную почту в личных целях.

3.6.3. Передавать электронные сообщения, содержащие:

3.6.3.1. Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя и способ передачи является безопасным, согласованным с администраторами ИС заранее.

3.6.3.2. Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.

3.6.3.3. Информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию.

3.6.3.4. Угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.

3.6.5. По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).

3.6.6. Использовать адрес электронной почты для оформления подписки на периодическую рассылку материалов из сети Интернет, не связанных с исполнением служебных обязанностей.

3.6.7. Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).

3.6.8. Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.

3.6.9. Шифровать электронные сообщения без предварительного согласования с администраторами ИС.

3.6.10. Перенаправлять электронные сообщения с личных почтовых ящиков на корпоративный.

3.7. Организация оставляет за собой право доступа к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований настоящего Положения.

3.8. При подозрении работника Организации в нецелевом использовании электронной почты инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.

3.9. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.

3.10. Все электронные сообщения и документы в электронном виде, передаваемые посредством электронной почты подлежат обязательной проверке на отсутствие вредоносного ПО.

ИНСТРУКЦИЯ

по работе с корпоративной электронной почтой.

Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее.

Запрещается использование внешних почтовых серверов (mail.ru, yandex.ru и т.п.) в служебных и личных целях. Электронная почта является собственностью компании и может быть использована ТОЛЬКО в служебных целях. Использование электронной почты в других целях категорически запрещено.

Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.

Оформление писем должно производиться в строгом, деловом стиле.

Письмо должно иметь адрес, тему письма, при необходимости вложение в виде документов в электронном формате и подпись.

Использование рамок, цветовых и других фонов в электронных письмах запрещается.

В конце текста электронной почты указывается подпись отправителя, что фактически является его визитной карточкой. Как и визитная карточка, подпись необходима для общения в корпоративной среде. Поэтому важен ее единый официальный вид. Подпись должна включать в себя соответствующую информацию об отправителе (данные о компании, должность, отдел, адрес и права). Отправляемые письма обязательно должны подписываться.

Подпись электронной почты не является равнозначной рукописной подписи и не имеет юридической силы.

Требования к содержанию подписи.

Использование в подписи курсивного и полужирного начертания шрифта, а также логотипов запрещено!

  1. строка: имя и фамилия

Имя и фамилия должны быть написаны в определенной последовательности и шрифтом одного размера

  1. строка: юридическое название компании
  2. строка: отдел / департамент
  3. строка:адрес

Адрес писать одной строкой, разделяя запятыми. Название городов не сокращать.

  1. строка: номер телефона и факса

Номер телефона и факса писать одной строкой, разделяя запятыми. Не забывайте указывать код страны.

  1. строка (если требуется): номер мобильного телефона
  2. и 8 строки (если требуется): второй адрес, номера телефона и факса

Сотрудники, работающие в двух и более местах, могут указать соответствующие номера телефонов и адреса для филиалов.

Адрес электронной почты не указывать.

Пример электронной подписи:

Подпись на английском языке выполняется по тем же правилам.

При работе с корпоративной системой электронной почты сотрудникам ЗАО «Рога и копыта» запрещается:

  • использовать адрес корпоративной почты для оформления подписок, без предварительного согласования с сотрудниками ИТ;
  • публиковать свой адрес, либо адреса других сотрудников компании на общедоступных Интернет ресурсах (форумы, конференции и т.п.);
  • отправлять сообщения с вложенными файлами, общий объем которых превышает 7 Мегабайт, в случае если объем файлов для отправки превышает допустимый придел, документы следует заархивировать (желательно в формат ZIP);
  • отправлять во вложениях файлы мультимедиа (музыка, видео, программы), письма с такими вложениями не обрабатываются почтовым сервером и не могут быть доставлены;
  • открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен;
  • осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам без их на то согласия. Данные действия квалифицируются как СПАМ и являются незаконными;
  • осуществлять массовую рассылку почтовых сообщений рекламного характера без предварительного согласования с сотрудниками ИТ;
  • рассылать через электронную почту материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также ссылки на вышеуказанную информацию;
  • распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;
  • распространять информацию содержание и направленность которой запрещены международным и Российским законодательством, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.
  • распространять информацию ограниченного доступа, представляющую коммерческую тайну;
  • предоставлять, кому бы-то ни было пароль доступа к своему почтовому ящику.

С настоящими правилами ознакомлен.

Так повелось, что у нас на предприятии всякого рода регламенты, политики и т.п. пишу в основном я и передаю их на рассмотрение руководства, которое может прочитать, что написано, а может и нет.
Так как все озаботились (и я в том числе) информационной безопасностью, решил написать относительно небольшое руководство по разработке политики по использованию электронной почты на предприятии. Многие вещи достаточно очевидны, но почему то они не исполняются.
Получилось конечно немного сумбурно, вперемежку и рекомендации и информация доведения до ума сотрудников и т.д.
Но в целом, кто хочет понять - тот поймет. В конце концов - я для себя пишу и думаю в последующем пригодится

Вопросы конфиденциальности

Вся информация, имеющая отношение к клиентам или бизнесу компании, является конфиденциальной. В 21-ом веке информационных технологий электронная почта является таким же носителем информации, как и печатные материалы, поэтому разумнее всего предъявлять те же требования к безопасности электронной информации, как и к бумажным материалам. Вот несколько рекомендаций по обеспечению безопасности информации в электронном виде:

  • Уделять вн имание сохранению конфиденциальности всякого рода паролей. Ведь ни для кого не секрет, что пароль пишется на бумажкке, которая клеится к клавиатуре или к монитору.
  • Если документ содержит строго конфиденциальную информацию, его следует хранить в особой папке компьютера, которая недоступна никому и знаете только о ней Вы.
  • Обеспечению безопасности может способствовать отказ от пересылки или разделения (даже внутри компании!) любой информации о клиентах.
  • Каждый раз, отправляя письмо, проверяйте список адресатов — все они должны обладать правами доступа к той информации, которую Вы посылаете

Злоупотребление

При написании электронных писем необходимо придерживаться общепринятых норм морали и этики; не нужно делать никаких заявлений ни от своего лица или, ни от лица компании, которые изобличают компанию в чем-либо, портят деловую репутацию или могут быть неверно истолкованы получателем.

Не следует принимать участие ни в каких мероприятиях, которые являются противоправными или противоречат общепринятым нормам ведения дел, а также в тех случаях, когда Ваши действия могут тем или иным образом нанести компании ущерб. Вы не можете загружать, отправлять, использовать, распространять любые изображения, текст, иные материалы, программное обеспечение, которые:

  • Могут быть признаны нелегальными или неэтичными
  • Могут призывать к действиям, выполнение которых нанесет (или может нанести) ущерб компании
  • Использование которых предполагает выполнение действий, не входящих в список Ваших должностных обязанностей
  • Могут отрицательно влиять на производительность информационной системы компании, включая локальную сеть и другие средства связи и обработки информации
  • Могут привести к возникновению каких-либо судебных споров или конфликтов
  • Являются предметом авторского права, защищенного законодательством, а разрешением на использование в том или ином виде Вы не располагаете

Следующие действия запрещены при любых обстоятельствах:

  • Занесение в компьютерную сеть компании вирусов или любых иных вредоносных программных средств.
  • Поиск и обнаружение средств или методов для получения несанкционированного доступа к компьютерным системам, находящимся внутри компании или за ее пределами.
  • Попытки чтения почтовых сообщений других пользователей без их разрешения.

Почтовые сообщения, которые были удалены, могут тем не менее быть отслежены и восстановлены. Таким образом, любой сотрудник, принимающий участие в создании или рассылке запрещенных сообщений, может быть идентифицирован. Почтовые сообщения, как в электронном, так и в бумажном виде, могут представлять собой вещественные доказательства для суда.

Мониторинг

Все ресурсы компании, включая компьютеры, электронную и голосовую почту, предоставляются для пользования сотрудниками исключительно в рабочих целях. Компания оставляет за собой право в любое время без предварительного предупреждения проверить состояние компьютерных систем, а также информацию, которая в них содержится. Любая информация, содержащаяся как на постоянных носителях (к коим можно отнести жесткие диски и оптические неперезаписываемые компакт-диски), так и на временных (дискетах, CD - R / RW и пр.) может быть проверена и изучена представителями компании.

В целях обеспечения выполнения пунктов настоящих Правил, компания может внедрять специализированное программное и аппаратное обеспечение для проверки и мониторинга использования компьютерных систем. Компания оставляет за собой право отслеживать, изучать, удалять или изменять любые почтовые сообщения, которые проходят через корпоративную почтовую систему.

Соглашение

Все сотрудники компании, включая работающих по контракту и временный персонал, имеющие доступ к почтовой системе компании, должны подписать настоящее соглашение, подтверждая тем самым понимание сути предъявляемых требований.

ВЫРАБОТКА СТАНДАРТОВ

Внутренние стандарты

После того, как Вы выработали определенные Правила пользования Вашей почтовой системой, Вы можете заняться выработкой стандартов, которые позволят эффективно применять Правила. Некоторые стандарты невозможно поддержать без применения специализированных технических средств, однако четкое планирование позволит Вам без труда разобраться, какое именно техническое решение Вам необходимо. Следующие стандарты, утвержденные представителями всех отделов Вашей компании, помогут Вам внедрить и успешно применять Правила пользования почтовой системой.

Официальные заявления

Официальные заявления в форме отказа от обязательств (disclaimer ) предназначены для информирования получателей писем о том, что компания не отвечает за содержание корреспонденции, отосланной сотрудниками. Заявления обычно содержат три основных типа положений, которые:

  • Уведомляют получателя письма о конфиденциальности переписки и просят перенаправить письмо в случае, если оно попало к получателю по ошибке
  • Объясняют, что содержание письма может не отражать официальную точку зрения компании
  • Показывают, что компания предприняла все возможные меры для того, чтобы защитить получателя письма. Одновременно с этим следует отказ от каких-либо обязательств в случае, если получателю был все же нанесен ущерб

Например так:

Настоящее почтовое сообщение является конфиденциальным и предназначено исключительно для получателя письма. Если Вы не являетесь получателем, вероятнее всего Вы получили письмо по ошибке и в этом случае любое использование, перенаправление, вывод на печать или копирование данного сообщения запрещаются. Если Вы получили сообщение по ошибке, пожалуйста свяжитесь с отправителем письма. Любые взгляды или мнения, представленные в письме, могут не совпадать с точкой зрения компании и отражают только точку зрения отправителя. Однако настоящее почтовое сообщение и любые вложения в него не содержат вирусов или каких-либо других недостатков, которые могли бы причинить вред Вашей системе; тем не менее, компания не несет никакой ответственности за причинение ущерба в результате получения данного письма.

По хорошему текст можно согласовать с юристом.

Файлы подписи

Подпись в электронном письме используется для идентификации отправителя и сообщения своих контактных данных. Возможно придется стандартизировать подписи всех Ваших сотрудников, сделать так, чтобы они все содержали практически один и тот же текст.

Сохранение электронной корреспонденции

В компании стоит выработать определенные правила, согласно которым происходит сохранение электронной переписки в течение некоторого периода времени. Возможно, Вам понадобится установить ограничение на размер почтового ящика каждого из сотрудников. Говоря в бщем, почтовые сообщения, не имеющие отношения к делу, могут удаляться незамедлительно, тогда как переписка с клиентами, партнерами и т.п. может сохраняться в течение относительно длительного периода времени. Часто разумным представляется создание дерева папок, в каждой из которых сохраняются сообщения, сходные по тематике. По прошествии нескольких месяцев новому сотруднику будет гораздо проще войти в курс дела, пользуясь архивом сообщений.

Стандарты фильтрации

Типы файлов

Обсудите с представителями отделов Вашей компании вопрос, какие типы файлов следует запретить пересылать через корпоративную почтовую систему. Вы можете выбрать такие типы файлов, как WAV , AVI , MPG , МРЗ — они практически никогда не используются в работе, только если Вы не работаете в медиа-индустрии. Общепринятой практикой сегодня является проверка всех исполняемых (ЕХЕ) файлов на предмет наличия вирусов.

Упакованные файлы должны проверяться как на вирусы, так и на содержание исходных файлов. Для этого при выборе программного обеспечения для анализа следует обратить внимание, какие типы архивов поддерживает система. Самые распространенные типы архивов: ARJ , LZH , CAB , CMP , GZIP , RAR , TAR , ZIP .

Анализ содержания

Большая часть программных продуктов, предназначенных для анализа почтового трафика, исследуют почтовые сообщения на предмет наличия в них определенных ключевых слов. Некоторые продукты даже содержат в себе списки слов, обнаруживая которые, программа должна выполнять заданные администратором действия. Такими словами могут быть: password ; vitae ; horoscopes ; confidential и прочие. Необходимо только обратить внимание на возможность ввода ключевых слов в Вашей кодировке и на Вашем языке, а не только на английском или русском.



Разработка Правил пользования почтовой системой

Перед тем, как окунуться в мир программных разработок для управления почтовым трафиком, рекомендуется разработать Правила пользования почтовой системой. Четкое определение, что можно, а что нельзя — это лучший аргумент, против обвинений в ограничении прав и свобод, а также скрытого неприятия нововведений. После разработки Правил рекомендуется согласовать окончательный текст с юристом, с начальниками подразделений.

Иногда случается так, что вопрос о контроле над электронными почтовыми сообщениями возникает после инцидента, когда нервы у всего персонала напряжены, а руководство спешно ищет способы избежать повторения неприятностей. Здесь очень важно не забывать то, что задача — не ликвидировать последствия, а разработать комплекс средств, призванный обеспечить эффективность и безопасность использования такого важного в бизнес-практике инструмента, как электронной почты. Не следует ожидайть, что выработка методик и стратегии пройдет легко и быстро. Возможно, что подготовительные мероприятия займут месяцы в зависимости от размера Вашей компании, а еще некоторое время уйдет на адаптацию сотрудников к изменившимся «правилам игры».

Консультации с отделами и руководством

Внедрение ограничений на пользование электронной почтой может быть воспринято персоналом очень остро и не в положительном смысле. Чтобы преодолеть сомнение и неприятие, чрезвычайно важно обеспечить прозрачность процесса разработки новых правил, показать сотрудникам, что новые решения не навязываются руководством, а предлагаются к совместному обсуждению и выработке компромисса. Значительно проще будет разрабатывать Правила путем формирования некоторой комиссии, состоящей из представителей всех отделов компании, включая высшее руководство.

Поощрение и объяснение реальных причин и мотивов для разработки Правил будет производить больший эффект, нежели Правила, основанные на запретах. С другой стороны Правила должны служить общему делу, поэтому вряд ли удастся совсем обойтись без запретов. Помните, что разрабатывая новые Правила, Вы имеете дело прежде всего с человеческим фактором, а технологии лишь помогают Вам внедрить Правила и обеспечить контроль их исполнения.

Управляя ожиданиями

Необходимо держать всех менеджеров в курсе изменений, производимых в почтовой системе. Будьте реалистом, не переоценивайте значимость и положительный эффект от внедрения той или иной технологической системы. Не исключено, что сейчас разрабатываемые Вами Правила изменяться через некоторое время, следуя за изменениями в тактике и стратегии компании.

Сотрудники компаний часто считают, что пользование электронной почтой должно быть таким же свободным и не подверженным ограничениям, как разговор по телефону. В этом смысле важно разъяснить, до какого предела корпоративная почтовая система может быть использована в личных целях. Каждый сотрудник должен четко себе представлять, что почтовая система предоставляет минимум средств для сохранения приватности, а каждое поступающее или отправляемое сообщение может быть просмотрено и сохранено администрацией. Собственно Правила пользования электронной почты должны начинаться с обозначения общих принципов работы с электронной почтой. Далее следует указать условия, на которых компания предоставляет сотруднику право пользования электронной почтой, и те действия, которые считаются недопустимыми в компании. Закончить Правила имеет смысл разделом, поясняющим, какие последствия могут иметь нарушения положений документа, а также местом для подписи сотрудника.

По закону (западных стран), сотрудники должны быть уведомлены о том, что компания производит перлюстрацию электронных писем. Впрочем, в обсуждениях с представителями отделов сделайте акцент на том, что мониторинг почтовых сообщений автоматизирован, и никто не собирается вручную просматривать каждое письмо. Применяя автоматизированные средства анализа, компания лишь желает оградить себя и своих сотрудников от возможных нежелательных последствий, которые могут наступить в результате утечки конфиденциальной информации, рассылки спама, оскорбительных и неэтичных материалов и т.д.

Допустимо ли использование почты в личных целях?

В компании следует выработать общую точку зрения на то, в какой мере допустимо использование корпоративной почтовой системы в личных целях. Существует по сути три возможных варианта:

  • Полностью запретить любое использование Интернет-ресурсов и электронной почты в личных целях. Согласие с этим сделать одним из условий работы в компании.
  • Обеспечить наличие альтернативных компьютерных систем, не входящих в корпоративную информационную систему, с помощью которых сотрудники могли бы использовать службы Интернет в личных целях. Что же касается корпоративной почтовой системы, то отношение к ее частному использованию такое же негативное, как и в первом варианте.
  • Разрешить до определенной степени использование электронной почты в личных целях, однако не гарантировать приватности этой переписки. При этом уровень безопасности, разумеется, снижается; в то же время, с точки зрения психологии такой вариант предпочтителен.
Конфиденциальность

Удостоверьтесь, что Ваши Правила содержат положения о том, как следует обращаться с информацией о клиентах. Сотрудники должны быть уведомлены об общепринятых в мировой бизнес-практике правилах работы с информацией о клиентах, а также об особенностях применения этих правил в компании.

Электронная почта через Web ( Web - based Email )

В настоящее время существует масса почтовых веб-сервисов . Безусловно, гораздо проще контролировать один канал передачи электронных сообщений через корпоративную почтовую систему, нежели отслеживать огромное количество бесплатных почтовых служб. Следует заметить, что большая часть подобных почтовых служб не является безопасной. Они в принципе не могут удовлетворять всем требованиям по безопасности, которые предъявляются Вашей компанией, а потому представляют собой угрозу Вашей корпоративной системе.

Разумным путем может быть запрещение использования подобных веб-сервисов с тем, чтобы все электронные письма отсылались исключительно через центральный почтовый сервер предприятия. Для обеспечения безопасности и в то же время благоприятной психологической атмосферы Вы можете установить несколько дополнительных компьютеров, не являющихся частью Вашей системы, с которых сотрудники могли бы посетить любые веб-сайты и пользоваться веб-почтой.

Пример Правил пользования электронной почтой

Пожалуйста внимательно ознакомьтесь с текстом Правил пользования корпоративной электронной почты; в дальнейшем предполагается, что Вы понимаете все положения настоящих Правил и обязуетесь их выполнять.

Цель

Цель настоящих Правил заключается в донесении до всех работников компании позиции компании относительно того, как должна использоваться корпоративная электронная почта. Конечной целью является гарантия того, что электронная почта используется эффективно для общего дела без создания дополнительного бизнес-риска или инцидентов.

Область применения

Все сотрудники компании, включая работающих по контракту и временный персонал, должны подчиняться положениям настоящих Правил. Нарушение Правил может привести к дисциплинарным взысканиям вплоть до увольнения. Кроме того, Ваши действия могут быть расценены как противозаконные, и в этом случае Вы несете личную полную ответственность перед законом за совершенные действия.

Общие принципы.

Компания предоставляет почтовую систему в пользование сотрудникам для организации рабочего процесса и доступ к системе предоставляется только для этого. Почтовые сообщения полученные или отправленные через корпоративную почтовую систему не являются частной собственностью, а составляют часть внутреннего документооборота компании.

Эпизодическое или время от времени встречающееся использование корпоративной электронной почты в личных целях допустимо, однако ограничивается положениям настоящих Правил. Любое частное использование электронной почты должно выполняться в свободное от работы время и не может нарушать ход рабочего процесса. Личное использование электронной почты не должно каким-либо образом воздействовать на работу других сотрудников, нарушать работу электронных систем компании или портить репутацию компании.

Использование электронной почты

При использовании электронной почты обращайте внимание на содержание писем. Отношение многих людей к электронной почте можно назвать легкомысленным по сравнению с отношением к бумажной корреспонденции. Помните, что любые заявления, сделанные в ходе электронной переписки имеют точно такой же вес, как и письменные, и могут быть использованы против Вас и/или компании.

Доступ к почтовым веб-услугам (например, Mail .ru ) запрещается с целью уменьшения риска попадания вирусов и других вредоносных программ в корпоративную сеть компании.

Обучение

Обучение сотрудников является одной из важнейших задач в ходе внедрения Правил доступа к электронной почте. В ходе обучения используйте плохие примеры пользования почтой и объясняйте, почему та или иная практика использования несет отрицательный заряд и недопустима в компании. Не стоит говорить только о том, что нужно делать; приводя отрицательные примеры, Вы тем самым четко проводите границу между тем, что хорошо, а что плохо.

Уведомления

Чтобы все те аспекты Правил, о которых Вы говорили в ходе внутренних семинаров, не забылись на вторую неделю, подумайте о том, как напоминать сотрудникам о всем вышесказанном. Вот несколько способов, как не дать забыть о том, что Правила все еще в силе:

  • Когда исходящее сообщение не соответствует положениям Правил и задерживается почтовой системой, разумно отправлять уведомление об этом факте с подобным текстом: «Почтовое сообщение, которое Вы только что отправили на адрес vova . putin @ mail . ru было автоматически проверено, и установлено, что не соответствует Правилам использования почты в компании. Мы рекомендуем связаться с получателем сообщения и уведомить о задержке с отправкой письма. Вам следует связаться с системным администратором по внутреннему телефону 1234, если Вы считаете, что запрет на отправку сообщения является результатом ошибки. В случае, если от Вас не последует какой-либо реакции на задержку сообщения, последнее будет удалено в течение 72 часов».
  • Задержанная входящая корреспонденция должна обрабатываться похожим образом. Уведомление высылается отправителю письма с просьбой связаться с получателем. Предпочтительно связываться именно с отправителем, поскольку сообщение потенциально может быть спамом.
  • Вы можете вставлять в каждое входящее письмо несколько строк, в которых указываете, например, адрес на текст Правил. Вот пример подобного раздела: «Настоящее сообщение было проверено на предмет наличия вирусов и соответствия положениям Правил пользования электронной почты. Текст Правил может быть найден по адресу: (где-то там) f :/ company / policies / email . doc ».
  • Предлагайте сотрудникам самим сделать выводы об эффективности применения тех или иных технических средств, которые Вы установили. Для этого регулярно представляйте цифры, отражающей количество входящих писем, содержащих вирусы или спам, которые были остановлены системой.

Поэтапное создание и внедрение Правил

Далее мы предлагаеся возможный вариант плана внедрения Ваших Правил использования электронной почты. План состоит из нескольких этапов, между которыми рекомендуется сделать хотя бы недельный перерыв для получения и анализа результатов выполненных ранее задач.

ЭТАП 1 - ОБСУЖДЕНИЕ БУДУЩИХ ПРАВИЛ

Можете ли Вы четко объяснить сами себе, какую проблему представляет собой неуправляемый доступ к корпоративной почтовой системе? Вполне вероятно, Вам придется не раз объяснять и доказывать очевидные для Вас вещи своим сотрудникам.

Помогите понять высшему руководству компании, что проблема существует и на ее решение необходимо выделение людских и материальных ресурсов

Организуйте комиссию по разработке Правил пользования корпоративной электронной почты. Вовлеките в работу сотрудников отдела кадров, поскольку Правила имеют большее отношение к персоналу, нежели к технологиям

Решите, до какой степени возможно использование корпоративной электронной почты в личных целях

Примите решение относительно запретов на пользование почтовых веб-услуг. Если Вы решаете полностью запретить подобные сервисы, следует сразу задаться вопросом, какими техническими средствами будет обеспечена реализация запрета

Подготовьте черновик Правил и разошлите его всем участникам рабочей группы перед обсуждением. Возможно, имеет смысл разослать черновик документа всем сотрудникам компании для получения отзывов до принятия Правил

Решите вопрос, следует ли требовать от сотрудников письменного согласия выполнять положения Правил при приеме на работу

К черновику Правил приложите возможный вариант текста обязательной вставки во все исходящие электронные письма (Disclaimer ). Посоветуйтесь с юристом относительно содержания текста

Проконсультируйтесь у юристов и специалистов в области трудового права относительно содержания Правил использования почты.

Обсудите с участниками рабочей группы вопрос, существуют ли в компании отделы или сотрудники, к которым положения Правил неприменимы или применимы лишь частично

Заранее подумайте о том, как следует поступать с теми сотрудниками, которые откажутся выполнять положения Правил

Распространите Правила среди всех сотрудников. Не забудьте про временный персонал и контрактников

Составьте расписание учебных мероприятий для сотрудников, на которых разъясняются аспекты Правил

Достигните соглашения со всеми заинтересованными лицами относительно того, кто будет осуществлять мониторинг почтовых сообщений и кому это лицо будет подчиняться

Найдите ответ на вопрос: следует ли устанавливать предел по объему почтового ящика, и если да, то существуют ли исключения из правил? Решите, будет ли создаваться структура папок для хранения различных сообщений

Собираетесь ли Вы вводить обязательный для выполнения стандарт на подписи писем? Если да, то Вам следует разработать общий шаблон подписи

Если Вы собираетесь организовать свободную зону доступа к Интернет , то позаботьтесь о решении вопроса, связанного с материально-техническим оснащением и выбором места

Какой максимальный объем одного письма является допустимым?

Какую политику обработки вложенных файлов Вы решите применить? Следует ли жестко утвердить отсылку документов, созданных в MS Word , в формате RTF ?

Установите стандартную процедуру обработки всех документов, содержащих определенные знаковые ключевые фразы, вроде «Для служебного пользования»


ЭТАП 3-ОБУЧЕНИЕ

Обучите сотрудников грамотной и безопасной работе с почтовой системой. Доведите до их сведения все аспекты Правил пользования электронной почты

Концентрируйте внимание не на запретах, корпоративном контроле и пр; акцент делайте на общепринятых правилах бизнес-этики. Сканирование почтовых сообщений - процесс полностью автоматизированный, и никто не собирается читать все проходящие сообщения

Приведите примеры напрасной траты ресурсов почтовой системы (расход пропускной способности, место на диске и пр.), которая может препятствовать прохождению действительно важных для компании сообщений

Сообщите сотрудникам, как они могут высказывать свое мнение о нововведениях


ЭТАП 4 - МОНИТОРИНГ

Удостоверьтесь в том, что антивирусные средства, которые Вы применяете в настоящий момент, смогут эффективно работать вместе с почтовой системой. Возможно, Вам потребуется закупить дополнительное программное обеспечение

Установите программное обеспечение для фильтрации почтового трафика в режиме мониторинга и вывода отчетов

Просмотрите все существующие инструкции относительно обеспечения сохранности клиентской информации. Проверьте, что они не противоречат Правилам работы с почтой

Оцените важность документов, с которыми работают сотрудники. Допустимо ли их пересылка по электронной почте? Можете ли Вы создать правила обработки сообщений, которые смогут предотвратить утечку конфиденциальной информации?

Составьте список значимых фраз, наличие которых в письмах или вложенных файлах, будет являться признаком передачи конфиденциальных данных

Есть ли в компании сотрудники, деятельность которых предполагает использования шифровальных средств?

Какие типы вложений имеет смысл запретить к прохождению через почтовую систему? Удостоверьтесь в том, что Вы блокируете прохождение ненужных файлов баз данных или мультимедиа-файлов. Какие типы архивов Вы считаете допустимыми к использованию в электронной почте?

Продумайте методику борьбы со спамом. Возможно, Вам имеет смысл установить антиспам

Выведите отчеты об использовании почты и проанализируйте их. Вероятнее всего, уже на данном этапе из отчетов Вы сможете определить кто из пользователей пользуется корпоративной электронной почтой не по делу


ЭТАП 5 - ВНЕДРИТЕ ПРАВИЛА ДОСТУПА

Во исполнение Правил введите специальные условия на фильтрующем программном обеспечении:
Ограничение размера письма
Запрет на пересылку писем, содержащих файлы форматов WAV , AVI , MPG и пр. - файлы этих форматов используются в бизнес-практике чрезвычайно редко. Добавляйте к каждому исходящему письму стандартный заголовок или окончание. Блокируйте и проверяйте исполняемые ехе-файлы. Перед блокировкой узнайте, кто привык использовать самораспаковывающиеся архивы

Регулярно отслеживайте работу правил программного обеспечения. Настройте их таким образом, чтобы количество неверных срабатываний было минимальным


ЭТАП 6 - НАПОМИНАЙТЕ СОТРУДНИКАМ О НАЛИЧИИ ПРАВИЛ ПОЛЬЗОВАНИЯ

Напоминайте пользователям о наличии Правил пользования почтой автоматическими письмами в случае, если их письма задерживаются или блокируются. Будьте вежливы и помните, что ни одно техническое средство не дает 100% гарантии распознавания конфиденциальной информации

Подумайте о том, чтобы добавлять во входящие письма специальное сообщение, говорящее о том, что сообщение было просканировано


ЭТАП 7 - ПЕРЕСМАТРИВАЙТЕ И РАССТАВЛЯЙТЕ АКЦЕНТЫ

Создавайте отчеты, демонстрирующие текущий уровень почтового трафика. Создавайте отчеты, которые показывают активность тех пользователей, которые были неоднократно замечены в нарушениях Правил

Пересматривайте правила программного обеспечения и список ключевых слов

Пересматривайте результаты обучения сотрудников. Возможно, следует провести еще несколько корпоративных мероприятий?

Позвольте сотрудникам кадрового отдела заниматься непосредственной работой с сообщениями и нарушителями. Отделу ИТ оставьте обеспечение функционирования техники


Как обеспечить фильтрацию? Следующая таблица поможет Вам составить список технических требований по обеспечению выполнения Правил.

Тип

Лимит на входящие сообщения

Лимит на выходящие сообщения

Исключения для пользователей/групп пользователей

Максимальный размер письма

10Мб

5Мб

Допустимы ли зашифрованные файлы?

Да

Нет

Отдел разработок

Запрещенные вложенные файлы

Avi, qtm, mpg, mpeg, wav, exe, com

Avi, qtm, mpg, mpeg, wav, exe, com

Отдел маркетинга

Exe, com, dll

Exe, com, dll

Отдел ИТ

Ns3, nsf, ntf (Lotus Notes)

Отдел ИТ

Ключевые слова

Конфиденциально, для служебного пользования

Директора

Username, id, password

Отдел ИТ

Cv, vitae, resume, резюме

Cv, vitae, resume, recruitment, резюме , поиск работы

Отдел кадров

Виагра, халява

доступ.

Исключения

В любых правилах есть исключения. Например, отдел кадров наверняка должен иметь доступ к получению писем, содержащих в огромном количестве фразы вроде «резюме» или «вакансия», а отдел кадров регулярно рассылает информацию о продукции компании и прайс-листы потенциальным клиентам. Поэтому выработка списка исключений является чрезвычайно важной задачей. Наверняка, для разработки такого списка Вам потребуется консультация со стороны представителей всех отделов Вашей компании.

Стандарты обеспечения безопасности Внутренние стандарты

Как уже поняли из настоящего документа, Вы можете фильтровать конфиденциальную информацию, основываясь на наличии или отсутствии специальных ключевых фраз. Однако, если никто и никогда такие фразы в компании не применяет, эффективность работы фильтрующего программного обеспечения будет равна нулю. Поэтому следует подумать над тем, как утвердить хорошую практику установки на каждый конфиденциальный документ соответствующего «электронного штампа» и сохранения некоторых особо важных документов в шифрованном виде в закрытых разделах сервера.

Для передачи особо важных документов третьим лицам следует применять шифрацию. На сегодняшний момент на рынке работает огромное число компаний, предлагающих свои продукты в области криптозащиты. Перед выбором такого средства почитайте о стойкость шифров, а также оцените степень защищенности системы на основе результатов экспериментов ряда независимых экспертов.

Вложенные файлы

Вложенные файлы представляют собой реальную угрозу заражения вирусом. В свое время, когда вложенные файлы хранили в себе преимущественно текстовую информацию, возможности заразить их вирусом практически не существовало. Однако сегодня многие файлы данных по сложности не уступают небольшим программам. Вы не можете уверенно утверждать, что находится в файле до тех пор, пока не откроете его, однако если файл заражен - будет уже слишком поздно. Хорошей практикой является отсылка документов в формате RTF . Это позволяет отсылать текстовую информацию со всем необходимым оформлением, но без возможности внедрения макросов, а значит и без возможности «подцепить» и перенести заразу. Хотя мысль о полном запрете на пересылку вложенных файлов может выглядеть ужасной, стоит ее рассмотреть. Помимо обеспечения антивирусной безопасности, таким образом, можете предотвратить использование почтовой системы в целях передачи порнографических материалов, игр, мультимедийных файлов и т.д.

Размер писем

Стоит решить вопрос относительно размера писем, которые приходят в корпоративную сеть и отсылаются в Интернет. Обычно достаточно 10Мб. Важно не только остановить передачу больших файлов, но также показать пользователям, что существует множество способов более выходящих сообщений. Чаще всего такое ПО является надстройкой для известных и
популярных почтовых серверов. Однако, не всегда такое возможно: установка
антивирусного ПО на почтовый сервер требует определенной квалификации и собственно
наличия выделенного почтового сервера, что не всегда выполняется в небольших
компаниях.

3. Пользование услуг по антивирусной проверке третьих фирм. Входящая почта
перенаправляется на удаленный сервер, где проверяется и возвращается в сеть компании.
Этот метод очень хорошо себя зарекомендовал тем, что не требует обслуживания системы
- все эти действия производит сервисная компания.

Собственно еще всегда важно помнить, что антивирусное ПО обеспечивает требуемый уровень защиты только в том случае, если регулярно обновляется.

Защита от спама

1. Подумайте о том, чтобы заказать услуги третьих фирм, которые будут обеспечивать
фильтрацию Вашей почты на основе собственных спам-списков.

2. Подпишитесь на регулярную рассылку спам-листов. Большая часть средств фильтрации почтового трафика располагают средствами анализа подобных списков и использования их в работе.

3. Если пользователи регулярно получают спам, можно рассмотреть возможность
отключения вывода изображений в клиентском почтовом программном обеспечении. Это
предотвратит возможность скрытого сообщения об открытии сообщения спамерам.

4. М ожно также использовать возможности клиентского программного обеспечения для
отсеивания спам-сообщений. Однако следует иметь в виду, что существует опасность
отсева действительно важных сообщений.

Мониторинг и оценка состояния

Мониторинг является критически важной процедурой. «Правила без мониторинга - это тоже самое, что закон без полиции». Результаты мониторинга Вас могут сильно удивить после внедрения Правил - в среднем 35-40% почтовых сообщений переносят графические изображения, а 70-80% почтового трафика не имеет отношения к делу.

Регулярно оценивайте точность срабатывания правил обработки сообщений.

Поддерживайте связь с сотрудниками; прислушивайтесь к их мнению относительно Правил. Не переусердствовали ли Вы? Действительно нужно чувствовать меру и не нарушать нормальные бизнес-процессы; с другой стороны, однако, решения не должны носить половинчатого характера.

Будьте готовы подвергнуть Правила изменениям. Никакие правила или законы не могут носить абсолютного и неизменного во времени характера. По мере изменения Вашей компании должны меняться и Правила.

Дисциплинарные взыскания

Средства для анализа почтовых сообщений должны использоваться по назначению. Включайте мониторинг действий определенного сотрудника только в том случае, если есть существенные основания подозревать его в совершении действий, нарушающих Правила. Не ищите «плохих» сотрудников специально путем перлюстрации корреспонденции. Почтовые системы не смогут заменить хорошей практики управления в компании. И помните: любые Правила пользования почтой в компании должны быть внедрены- иначе они будут просто игнорироваться.

Лучшие статьи по теме

Краткий обзор и установка Steam OS ⇡ Аппаратная база
Краткий обзор и установка Steam OS ⇡ Аппаратная база
Как прошить Xiaomi c китайской версии на глобальную
Как прошить Xiaomi c китайской версии на глобальную
Инструкция по восстановлению смартфона после попадания в воду Мой Galaxy S5 повреждён водой
Инструкция по восстановлению смартфона после попадания в воду Мой Galaxy S5 повреждён водой
Категории:
© 2024 gorojanezdes.ru. Интернет. Браузеры. Программы. Ноутбук. Компьютеры.