Цифровая гигиена представляет собой совокупность организационно-технических мер и поведенческих норм, направленных на обеспечение конфиденциальности, целостности и доступности информации в процессе трудовой деятельности, минимизацию рисков несанкционированного доступа, утечек персональных данных и иных информационных угроз.
Трудовые обязанности работника в сфере информационной безопасности
В соответствии со статьей 21 Трудового кодекса Российской Федерации (ТК РФ) работник обязан добросовестно исполнять трудовые обязанности, в том числе соблюдать требования локальных нормативных актов работодателя по информационной безопасности.
Требования законодательства о персональных данных
Положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) обязывают оператора (работодателя) и лиц, осуществляющих обработку персональных данных по его поручению, принимать меры по защите таких данных (статьи 18, 19 152-ФЗ).
Ответственность за несоблюдение норм цифровой гигиены
Несоблюдение норм цифровой гигиены квалифицируется как нарушение трудовых обязанностей (статьи 192–193 ТК РФ) и может повлечь дисциплинарную, материальную, административную (статьи 13.11, 13.14 КоАП РФ) или уголовную ответственность (статьи 137, 272, 273 УК РФ).
Запреты, связанные с использованием электронных устройств и программного обеспечения
Использование личных электронных устройств
Сотрудникам запрещается использование личных электронных устройств (смартфоны, планшеты, ноутбуки) для доступа к корпоративным информационным системам, ресурсам и данным без предварительного письменного согласования работодателя и внедрения утвержденных мер защиты (политики BYOD/MDM), включая шифрование, удаленное управление и контроль устройств. Нарушение создает риски утечки данных в нарушение ст. 19 152-ФЗ.
Использование программного обеспечения и внешних носителей
Запрещается установка, запуск или использование нелицензионного, несанкционированного или неутвержденного программного обеспечения, а также подключение внешних носителей информации (USB-накопители, внешние диски) без предварительной проверки антивирусным программным обеспечением и разрешения ИТ-службы.
Обновление систем и средств защиты
Сотрудникам вменяется в обязанность своевременное обновление операционных систем, приложений и антивирусного ПО; запрещается отключение или игнорирование автоматических обновлений безопасности и уведомлений об уязвимостях.
Запреты при обработке и хранении информации
Обработка персональных данных
Запрещается обработка персональных данных работников, клиентов или контрагентов в объеме, превышающем цели, установленные трудовым договором, политикой обработки персональных данных или поручением работодателя, без получения необходимого согласия субъекта или иного законного основания (ст. 6, 9 152-ФЗ).
Хранение конфиденциальной информации
Запрещается хранение конфиденциальной, служебной или персональной информации на личных устройствах, в личных облачных хранилищах или незашифрованных носителях. Все данные подлежат обработке исключительно на корпоративных защищенных ресурсах.
Учетные данные и доступ
Запрещается передача учетных данных (логинов, паролей, токенов), использование общих учетных записей или передача доступа третьим лицам (включая коллег без соответствующего разрешения).
Запреты в сфере коммуникаций
Передача информации по неавторизованным каналам
Запрещается пересылка рабочих документов, конфиденциальной информации или вложений из корпоративной электронной почты (или иных корпоративных мессенджеров) в личные аккаунты электронной почты, мессенджеры или иные неавторизованные каналы связи.
Использование корпоративных средств связи
Запрещается использование корпоративной электронной почты или мессенджеров для личной переписки, регистрации на сторонних ресурсах или направления информации, не связанной с исполнением трудовых обязанностей.
Проверка корректности отправки данных
Перед отправкой конфиденциальной информации сотрудник обязан проверить адрес получателя, наличие цифровой подписи/шифрования и целесообразность передачи по данному каналу.
Запреты при использовании сети Интернет и внешних ресурсов
Использование общественных сетей Wi-Fi
Запрещается подключение к общественным (открытым) беспроводным сетям Wi-Fi (в кафе, аэропортах, гостиницах) для доступа к корпоративным ресурсам без использования утвержденного корпоративного VPN с шифрованием трафика.
Работа с электронными письмами и веб-ресурсами
Запрещается переход по ссылкам, открытие вложений в электронных письмах, мессенджерах или на веб-страницах от неизвестных или подозрительных отправителей, а также ввод корпоративных учетных данных на сайтах, не имеющих подтвержденных сертификатов безопасности (HTTPS с валидным сертификатом).
Посещение ресурсов повышенного риска
Запрещается посещение веб-ресурсов, не связанных с исполнением трудовых обязанностей, в категориях высокого риска (файлообменники, торренты, сомнительные развлекательные или мошеннические сайты), а также скачивание файлов из неавторизованных источников.
Парольная политика
Запрещается сохранение паролей в браузерах, использование слабых или повторяющихся паролей; рекомендуется применение менеджеров паролей и многофакторной аутентификации (MFA) на всех корпоративных аккаунтах.
Ответственность за нарушение запретов
Нарушение настоящих требований влечет:
Дисциплинарную ответственность
Дисциплинарную ответственность вплоть до увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ (разглашение охраняемой законом тайны);
Материальную ответственность
Материальную ответственность (ст. 238–243 ТК РФ);
Административную ответственность
Административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства о персональных данных) или ст. 13.14 КоАП РФ (разглашение информации с ограниченным доступом);
Уголовную ответственность
В случае причинения крупного ущерба или совершения тяжких последствий – уголовную ответственность по статьям 137, 272, 273 УК РФ.
Контроль со стороны работодателя
Работодатель вправе проводить внутренние расследования, мониторинг соблюдения и привлекать к ответственности в порядке, установленном трудовым законодательством.
Рекомендации
Рекомендуется прохождение обязательного обучения по цифровой гигиене не реже одного раза в год, регулярное ознакомление с локальными актами и тестирование знаний. Только комплексный подход позволяет минимизировать риски киберугроз и соответствовать требованиям 152-ФЗ, ТК РФ, а также GDPR в трансграничных операциях.
Заключение
Соблюдение изложенных запретов является неотъемлемой частью трудовых обязанностей и условием обеспечения информационной безопасности организации. Рекомендуется прохождение обязательного обучения по цифровой гигиене не реже одного раза в год, регулярное ознакомление с локальными актами и тестирование знаний. Только комплексный подход позволяет минимизировать риски киберугроз и соответствовать требованиям 152-ФЗ, ТК РФ, а также GDPR в трансграничных операциях.
