О правомерности использования программ-подглядывалок
 

Здравствуйте.

Я работаю админом в небольшой торговой компании. 20-30 компьютеров. Мой директор дал мне прямое указание поставить на компьютеры пользователей такую программу, которая позволяла бы следить за их рабочим столом. (Логов прокси-сервера ему мало) Я поставил VNC. Научил директора пользоваться этой программой. Само собой он попросил меня не говорить сотрудникам о том, что такая программа существует. Последнее время коллеги стали меня спрашивать не может ли наш руководитель читать сообщения ICQ. Я сказал что типа не может. Он по-ходу спалился когда задавал им вопросы, которые обсуждались во время переписки внутри компании.

Я где-то слышал, что подобные вещи немного незаконны. Т.е. если бы сотрудников предупредили о контроле их деятельности, то всё было бы нормально. А сейчас получается, что он вторгается в их жизнь (вот личная или приближённая к работе это вопрос). Я точно знаю, что есть закон о нарушении тайны переписки или телефонных переговоров. И нарушают его только определённые органы с разрешения прокуратуры и т.д. Ну или когда предупреждают, что эта тайна может быть нарушена (Когда звоните в тех.поддержку вам говорят что разговор может быть записан). К слову сказать почтовый сервер компании меня просили настроить таким образом, чтобы вся почта дублировалась в одном из почтовых ящиков. Я об этом всех предупредил.

Я хотел бы попросить вас прокомментировать данную ситуацию. Может дать какие-нибудь ссылки на законодательство и я постараюсь переубедить начальника. Просто как то на душе неспокойно когда коллеги задают вопросы а я не могу им ответить. Совесть мучает.

Tonny_Bennet, Я уточню ваше сообщение - разговор идет о Российском законодательстве :)

для успокоения совести пусти слух, что "начальник поставил что-то и теперь может незаметно видеть то, что творится на экране сотрудников". И тебе не придется морочиться и народ дисциплинизируется)
Второй вариант - разладь програмку... закрой порт, снеси библиотеку... и придумай легенду, почему больше использовать ее не получится)

люди по договорам/контрактам работают, там дб оговорено все. Если используют служебный трафик в личных целях, то нарушают. Отделить частный трафик от служебного невозможно, а контроль за работой сотрудников не обсуждается... даже законы не причем, здравый смысл.

Начальник такой Чайник что боготворит меня за то, что я наваял 10 минут табличку подсчёта прибыли в Excel и не замечает настройки резервных каналов и репликации серверов. Думаю не прокатит.

Скорее всего ругнётся и заставит сотворить что-нить ещё. А мне как то не сильно этого хотелось бы....

Я подписывая договор писал ещё одно заявление, в котором я разрешал использовать любые законные методы для проверки предоставляемой мною информации. Как потом я узнал речь шла о проверке на полиграфе, которая реально частенько проводится. Я вот сейчас подумал, что может под формулировку в этом заявлении можно подвести действия начальника?

Дело в том, что в обеденный перерыв, до и после работы сотрудникам разрешается пользоваться Интернетом в личных целях и вполне возможно, что переписка велась именно в это время.

если в договоре упомянуто о праве на частную тайную переписку с использованием служебных каналов, то админ должен обеспечить неприкосновенность (и это дб в договоре). В обеденный перерыв "средства производства" не переходят в частную собственность работников...
Для частной переписки должны юзать личные средства и оплаченный ими трафик...
Используя служебные средства в личных целях, вообще то наносится ущерб компании, т.е. руководитель может затребовать возместить затраты, и в том же духе...

Читаем внимательно, что подписываем.

Когда я работал админом (в такой же по числу ПК конторе), меня также обязали предоставить руководству средства контроля за ПК пользователей. Я поставил RAdmin и научил шефа различать режим наблюдения и управления. Он начал баловаться, помогая сотрудникам раскладывать косынку (тем самым "спалив" себя), но я с его позволения еще раньше всех предупредил. Я обосновал это примерно так: "За всеми вы все равно не уследите, а зная об этой фишке, они будут намного дисциплинированнее". Меня никто не ругал и предателем не назвал. Если тебе категорически запрещают разглашать, то можно поступить так:
- пустить слух (если есть надежный чек, к-й не выдаст);
- настроить его прогу в режим управления (если такое возможно) - он сам себя выдаст;
- настроить "вьюер" на одном из пользовательских ПК и "не заметить" стоящих за спиной сослуживцев (если шеф спросит - какого рожна не на своем ПК, то отвечай: у меня заглючило - отрабатывать на Вашем ПК не решился).

Какое-то время назад, а именно в октябре 2010, прочитал как раз на эту тему статью в журнале "Хакер". Статья называлась - "Риски системного администратора" . Кому интересно, я думаю могут найти этот номер. В свою очередь хотел бы процитировать только некоторые строки из этой статьи, как раз касаемо данной темы : -
"Сисадмин рискует попасть под 273 -ю статью, если он установит на компьютер работника троянскую программу - большинство программ этого класса являются вредоносными. Автору несколько раз рассказывали знакомые и клиенты, как начальник требовал от админа поставить программу - шпион кому-то из подчененных. Получение приказа не освобождает исполнителя от уголовной ответственности, если приказ заведомо не законный (ч. 2 ст. 42 УК), а в случае с троянской программой это так. Кроме того, сисадмин в своей работе иногда использует иные программы двойного назначения : кейгены, сниферы, подборщики паролей, сканеры. Они вредоносными не являются, но следователь и его "карманный" эксперт могут этого и не знать. Или не хотеть знать. На практике достаточно много случаев, когда статью 273 рисуют без любых на то оснований за всякие "нехорошие", но отнюдь не вредоносные программы ( ахтунг - вредоносной является не любая программа, причиняющая вред. И наоборот, принести вред может вполне законная программа.)"
И ещё.... - " Существует распространённое заблуждение, что служебные коммуникации якобы можно просматривать/прослушивать без согласия работников. Другой вариант той же сказки - что работника якобы достаточно официально уведомить, после чего перлюстрация становится законной. В США, то есть на родине фильмов и приключенческих романов, из которых это заблуждение подчерпнуто, дело обстоит действительно так. Но на родине прав человека - в Европе, а за одно и в России, конституции устроены немного иначе. Ни уведомление, ни право собственности на средства связи не дает работодателю возможность перлюстрировать электронную почту и другие служебные каналы связи. Требуется письменное ( и при том добровольное) согласие абонентов; впрочем, и оно в некоторых случаях будет не действительным ( подробнее - http://forensics.ru/zi-ts.html ) Правда работники - правозащитники находятся редко. По этому тайна связи нарушается на российских предприятиях сплошь и рядом. Если на таком нарушении всё-таки поймают, то сисадмин - первый кандидат в обвиняемые, а отдавший приказ начальник может и отвертеться."

Tonny_Bennet, А что касается этого, то согласно данной статье, случаям и практике, вероятнее всего что начальника убеждать бесполезно. Ему - то в принципе пофиг...) Главным исполнителем фактически является сисадмин, а кто там отдавал приказы, какие.. и при каких обстоятельствах..., это мало кого интересует. По принципу " был бы человек - ...." а дальше по тексту..)

Конституцию писали люди, не бельмеса не понимающие в "колбасных обрезках" ! Законно ли тогда существование прокси-серверов ? А их логи скажут все о том - когда и какую именно голую тетьку вы лицезрели ! Если (в нашей стране) захотят посадить, то ковырять так глубоко не будут (да и откуда взять таких людей если в "органах работают в массе своей те, кого иначе возьмут только в дворники). Есть намного более простые и действенные средства: 2 произвольно взятых алкаша за бутылку с удовольствием подтвердят перед судом присяжных, что своими глазами видели, как вы застрелили Д.Ф. Кеннеди. И суд присяжных будет единогласен !

Тайна связи - предмет гарантий и обязательств. Если компания гарантирует эту тайну при пользовании ее услугами, то за нарушение тайны она будет нести какую-то ответственность.

Т.е. человек получает эти гарантии, и исходя из этого пользуется услугами. Например, в договоре с телефонной компанией должен быть подобный пункт.

Человек реализует свое право на тайну связи через те компании, которые обязуются обеспечить тайну связи.

По умолчанию тайна связи никак не может гарантироваться. Исходя из этого смотрим договор работника и работодателя на предмет тайны переписки средствами работодателя (о других провайдерах речь не идет).

Сисадмин может ставить любой софт на железо компании, с целью исполнения своих обязанностей (поддержание сети в рабочем и безопасном состоянии). Если софт установлен легально и выполняет заданную функцию - то это заведомо никакой не вирус или троян.

Компьютеры принадлежат фирме (или конкретному человеку). Он волен делать с ними что хочет. Это как твоя книга - хочешь, делаешь пометки на полях, хочешь обертываешь в газетку. Не нравится - не бери.