Сотрудники управления информационной безопасности одной из крупных компаний обнаружили, что один из работников компании – вопреки запрету – хранит в открытом (текстовом) виде на своем рабочем столе в рабочем компьютере пароли от системы электронного документооборота и некоторых внутренних информационных ресурсов работодателя (Определение СКГД Шестого КСОЮ от 5 марта 2026 г. по делу № 8Г-1893/2026). На основании скриншота экрана инициировали служебную проверку, и она подтвердила факт такого хранения паролей.

Поскольку работника ранее знакомили с внутренними документами по информационной безопасности, а они запрещают хранение паролей в таком виде, работнику объявили замечание.

Он пытался оспорить правомерность дисциплинарного взыскания, ссылаясь на следующее:

во-первых, такое хранение не является открытым – файл в рабочем компьютере, чтобы войти туда, нужна двухфакторная аутентификация и физический доступ в кабинет (для которого тоже нужен специальный электронный ключ) и физический доступ на само предприятие (а там тоже строгий пропускной и внутриобъектовый режим). Получается, никто посторонний не смог бы открыть этот файл с паролями;

во вторых, работник свои персональные логины и пароли никому не передавал. Не записывал их на материальные носители, не сохранял логины и пароли в программно-технических средствах в открытом виде и не использовал средства автоматического ввода;

в-третьих, у работодателя есть специальная защищенная программка для хранения паролей, но истцу об этом никто не сообщил, а ведь именно на работодателе лежит обязанность по организации труда работника;

и наконец, ничего плохого же не случилось – никакая информация никуда не утекла, несанкционированного доступа к информации не было.

Однако суды трех инстанций поддержали работодателя:

работнику вменяется нарушение должностной инструкции в части несоблюдения Правил внутреннего трудового распорядка, локальных нормативных документов работодателя, в том числе Стандарта работодателя "Политика информационной безопасности" в части сохранения паролей в программно-технических средствах в открытом виде, непринятия мер по смене паролей при подозрении в их компрометации, а также Методических указаний работодателя "Требования информационной безопасности к пользователям" в части хранении пароля в программно-технических средствах в открытом виде (в текстовом виде на рабочем столе), а также непринятия незамедлительных мер к смене скомпрометированных паролей;

суд отклоняет довод о том, что работодатель не обеспечил работника программой для хранения паролей, поскольку установлено, что работник ознакомлен с должностной инструкцией, Правилами внутреннего трудового распорядка, локальными нормативными актами, из которых следует, что при хранении пароля, пин-кода необходимо использовать защищенные способы хранения, обеспечивающие защиту от несанкционированного доступа (хранить в месте доступном только для Пользователя ИТ-актива), при этом запрещено, в том числе, хранить пароль, пин-код в программно-технических средствах в открытом виде (например, в текстовом виде на рабочем столе). Поскольку правилами внутреннего трудового распорядка указано о необходимости использовать защищенные способы хранения паролей и установлен запрет на их хранение в текстовом виде на рабочем столе, то работник при возникновении сложностей в хранении паролей от 4 информационных ресурсов мог и должен был запросить у работодателя информацию о том, какие в компании имеются защищенные способы хранения паролей;

эти требования безопасности связаны с необходимостью сохранения конфиденциальной информации о деятельности работодателя;

работник занимает должность, которая предполагает владение им необходимыми терминами. При знакомстве со Стандартом компании "Политики информационной безопасности" и упомянутыми Методическими указаниями истец не подавал каких-либо служебных обращений о неясности тех действий, которые он не может совершать. Истец при даче пояснений работодателю понимал о сути требования, о месте хранения паролей, и не относил "рабочий стол", "АРМ" к мебели;

доводы истца о том, что рабочий компьютер находился на территории работодателя в ограниченно доступном для посторонних лиц кабинете, не имеют правового значения, поскольку истец беспрепятственно выносит рабочий ноутбук за пределы офиса. Отклоняется также довод об аутентификации, потому что двухфакторная аутентификация требуется при включении компьютера, а в течение рабочего дня аутентификация может не требоваться. Более того, локальные нормативные акты не имеют оговорок о том, что при двухфакторной аутентификации не применяется запрет сохранять пароль в программно-технических средствах в открытом виде или использовать средства его автоматического ввода;

не является обязательным факт наступления каких-либо негативных последствий от действий истца, поскольку запрет хранения паролей в текстовых файлах на рабочем столе выражен императивно в соответствующих локальных нормативных документах, с которыми истец ранее ознакомлен письменно.

По материалам garant.ru