В далеком 2012 я опубликовал в блоге "Методику проведения служебного расследования", которая сейчас числится в топ 5 по популярности моих постов - что ужасно :)
Ибо методика разрабатывалась до того, как с моим участием было проведено хотя бы одно расследование, и даже до того, как я окончил универ... и вообще, инициатива разработать методику, на мой взгляд, была вызвана желанием моего непосредственного руководства меня занять... а еще за основу взята методика расследования внутренних краж в одной небольшой сети супермаркетов, найденная в интернетах.
Все это я к чему - опубликованная мной в 2012-м методика не дает представление о реальных процедурах и фиксации результатов этих процедур, которые следует провести, чтобы иметь возможность наказать "нарушителя" в правом поле. В общем, едва ли отвечает на вопрос "как провести внутреннее расследование?" Текущую инструкцию по расследованию (ее вариант без привлечения правоохранительных органов) публиковать не буду - там далеко не только мой труд вложен, а вот о грамотном порядке проведения внутреннего расследования с последующем увольнением лица, в отношение которого проводилось расследование - расскажу...
Хотя и это тоже коллективный труд (в первый раз - просто огромный, с многократными пересогласованиями и заседаниями). "Дело" вела Комиссия из меня, моего шефа - Андрея Ерина и еще нескольких человек, у которых я не уточнял, хотят ли они видеть свои имена в этом блоге... если Вы один из этих замечательных людей и хотите ссылку на себя - пишите :) А еще мы консультировались с нашим начальником судебно-претенциозного отдела - Евгением Суровым, который на InfoSecurity Russia даже выступал по этому поводу). Долгая прелюдия получилась - переходим к делу:
По итогам внутреннего расследования у нас должен быть сформирован следующий пакет документов:
- Экспертное заключение
- Служебная записка на имя Генерального директора
- Приказ о назначении Комиссии по расследованию
- Объяснительная записка лица, в отношении которого проводилось внутреннее расследование (далее будем называть "нарушитель")
- Характеристика руководителя "нарушителя"
- Протокол(ы) заседания(-ий) Комиссии по расследованию
- Заключение Комиссии по результатам расследования
- Приказ о дисциплинарном взыскании (если принято такое решение)
Экспертное заключение
Эксперт по брызгам крови, сериал "Декстер" |
Компетентное лицо собирает первичную информацию, которая служит доказательствами нарушения. Это могут быть всевозможные логи/отчеты тех или иных информационных систем (в т.ч. СЗИ). Но данные "доказательства" таковыми не являются в суде. Сергей Никитин (Group-IB) на BIS Summit здорово сказал (а я записал): "Жесткий диск не является доказательством в суде, если им конечно, не забили кого-то до смерти". Доказательством служит именно экспертное мнение. А чего это я про суд во внутреннем расследовании? Представьте, что вы допустили ошибку, а уволенный и оскорбленный в лучших чувствах работник подал на вас в суд (в течение возможного срока подачи иска)... А тут такая оказия - процедура то была не верна, и работника нужно восстановить и выплатить зарплату за все время, пока он не работал, еще и компенсация за моральный ущерб возможна.
В случае с разглашением конфиденциальной информацией необходимо также отразить в заключении 2 вещи:
- Работник знал, что разглашенная информация является конфиденциальной
- Работник получил к ней доступ в ходе выполнения своих должностных обязанностей
Если, конечно, сомнений в личности разгласившего нет. Если есть, то это нужно будет отразить в заключение Комиссии.
Служебная записка на имя Генерального директора
Или иного лица, которому в соответствии с внутренними регламентами делегировано право создавать Комиссии по расследованию. Здесь все просто - мы информируем уполномоченное лицо, что произошло (серьезное) нарушение, а он в свою очередь решает, стоит ли проводить большую работу для вынесения (серьезного) взыскания с нарушителя.
Приказ о создании Комиссии по расследованию инцидента
В теории может быть и постоянно действующая Комиссия по расследованиям (и при этом можно отказаться от служебной записки)... Но т.к. мы не преследуем цель "массовых репрессий", а лишь наличие работающего и мощного инструмента дисциплинарных взысканий, как психологического средства защиты информации, мы пришли к выводу об отсутствие необходимости постоянной Комиссии. Кто в нее должен входить? Четких критериев нигде не найдете, мы тоже никаких рамок не ставили, кроме того, что председателем Комиссии должен выступать Директор Департамента информационной безопасности. Рекомендуется туда включать кого-то хорошо знающего трудовой кодекс (например, из HR), но не юристов. Юристы в состав Комиссии входить отказались, т.к. при разбирательстве в суде, они должны быть к Комиссии нейтральны. И еще важно, чтобы в Комиссии был кто-то, обладающий достаточными компетенциями для оценки тяжести проступка (требование ст.192 ТК).
Объяснительная записка нарушителя
Собственно, первый рубеж защиты нарушителя - возможность оправдать свои действия. От своего права он, конечно, может отказаться (если в течение двух дней объяснение не предоставит), при этом обязательно должен быть составлен акт фиксирующий факт отказа. А еще это обязательное требование ст.193 ТК. В любом случае согласно ст.192 ТК при вынесении приговора решения о дисциплинарном высказывание должны учитываться обстоятельства проступка... а лучше всего их узнавать от непосредственно "проступившегося".
Характеристика непосредственного руководителя нарушителя
Не знаю, нужно ли оно "де юро", но это крайне важная информация для принятия решения.
Протокол заседания Комиссии по расследованию
Комиссии нужно собраться и проанализировать полученную ранее информацию. Уточнить недостающую информацию у нарушителя, возможно привлечь других экспертов. Цель - сбор недостающей информации для вынесения решения.
Заключение Комиссии
В теории может быть отражено в протоколе... но с протоколом мы знакомим под роспись нарушителя, т.к. в основном уточняющие вопросы адресуются к нему, а заключение Комиссии уже было определено позже без его участия. Заключение носит рекомендательный характер и направляется на рассмотрение Генеральному директору. В заключение должны быть отражены кратко основные моменты "дела". В нашем случае: когда, что и при каких обстоятельствах было разглашено, знал ли нарушитель о характере информации, имел ли умысел, как объясняет свои действия нарушитель, какой ущерб это повлекло (или могло повлечь), как оценивает эффективность работника его непосредственный руководитель, рекомендации Комиссии. Например, такая рекомендация "Применить дисциплинарное взыскание в форме увольнения на основании подп.«в» п.6 ст.81 ТК РФ"
Приказ о дисциплинарном взыскании
Нарушитель должен ознакомиться с ним в течение трех дней ст. 193 ТК (либо акт, как в случае с объяснительной). А потом в течение месяца (+ срок "уважительной причины", если таковая имеется), держать подготовленный пакет наготове (ст.392 ТК). Насколько велики шансы каждой из сторон, сказать сложно - правоприменительной практики не так много (в нашем случае речь идет не о КТ), а я не юрист. Но... с юристами мы, разумеется, консультировались, когда первый инцидент расследовали - вроде как все на нашей стороне, включая чувство справедливости :)
Комментариев нет:
Отправить комментарий