[AndreyKiselev]

Добрый день.
Работаю в международной компании в IT-отделе (директор);

В конце прошлой недели из-за океана от наших новых инвесторов пришел запрос, касающийся информационной безопасности нашей компании, мол, как в российском филиале обстоит дело с этим?

Так как у нас дело с этим обстоит "как у всех", юр. отдел быстро подсуетился и издал приказ а-ля: пользователям запрещается хранить информацию там и сям, запрещается пересылать по общей почте секреты компании, следует кидать в шреддер бумажки с секретной информацией, офисные кабинеты в конце дня должны запираться, пароли соответствовать, и все такое прочее.

Причем видно, что понапихано все, что только можно, т. е. наши делали приказ впопыхах с какого-то шаблона, лишь бы сказать заморским партнерам "Да, у нас, конечно же, с этим очень строго".

Заставляют людей подписать, ну, они подписывают, ничего страшного прямо такого как бы нет.

НО!
"Контроль, управление и наблюдение за состоянием компьютерной и информационной безопасности, серверов, систем хранения и другого программного и аппаратного обеспечение возложить на IT-отдел Компании: IT-отдел наблюдает за правильностью выполнения сотрудниками действий по доступу к объектам информационной системы; осуществляют мониторинг состояния информационных систем с целью выявлений попыток несанкционированного доступа и использования информации; контролируют правильность использования имеющихся коллективных и индивидуальных средств информационной защиты."

Ниже дополнено, что "Контроль выполнения настоящего приказ лежит на руководителя службе безопасности".

На вопрос, какими средствами и в какое время IT-отдел (у нас 4 человека, из них двое - весьма узкие специалисты, которые выполняют ТОЛЬКО свою работу) будет все это контролировать и следить, ответа не последовало - развели руками.

Далее в приказе:
"За невыполнение требований Приказа сотрудники привлекаются как к дисциплинарной ответственности, так и в гражданской (в случае, если невыполнение приказа повлекло вред имуществу Компании")"


Просто я подспудно понимаю, что здесь под "невыполнение" можно подвести все, что угодно и уволить сотрудника. С другой стороны, суд может в случае спора встать на сторону сотрудника, т. к. четко в приказе не прописано НИ-ЧЕ-ГО.

Так как даже 10 человек не в состоянии полностью отслеживать, кто и чем занимается в компании, где и как хранят пароли, предоставляют ли кому-нибудь доступ к своему компьютера, то посему два вопроса:
1) Можем ли мы не подписывать приказ?
2) В случае, если сотрудника нашего отдела заходят "уйти" (а такие попытки предпринимались дважды, и заканчивались ничем, т. е. сотрудники были обвинены на пустом месте), можно ли человеку "пришить" невыполнение данного приказа?

Заранее благодарю.