Главная страница
Навигация по странице:

  • 1.5 Защита информации при работе с персональным компьютером

    		•

    Курсовая на 3 трудовое право. Курсовая работа по дисциплине Трудовое право тему Механизм защиты персональных данных работника


    Скачать 58.86 Kb.
    НазваниеКурсовая работа по дисциплине Трудовое право тему Механизм защиты персональных данных работника
    Дата20.02.2020
    Размер58.86 Kb.
    Формат файлаdocx
    Имя файлаКурсовая на 3 трудовое право.docx
    ТипКурсовая
    #109300
    страница2 из 3
    1   2   3

    1.4 Передача персональных данных работников

    При передаче персональных данных работника работодатель должен соблюдать следующие требования: не разглашать личные данные третьим лицам без письменного согласия работника, за исключением случаев, когда это необходимо для предотвращения угрозы жизни и здоровью работников, а также В иных случаях, предусмотренных Трудовым кодексом или иными федеральными законами; Не разглашать личные данные сотрудника в коммерческих целях без его письменного согласия; Предупредить лиц, получающих персональные данные сотрудника, о том, что эти данные могут использоваться только для целей, о которых они сообщаются, и требовать от таких лиц подтверждения соблюдения этого правила. Лица, получающие персональные данные сотрудника, обязаны соблюдать тайну (конфиденциальность); Передавать персональные данные сотрудников в рамках одной организации, одного индивидуального предпринимателя в соответствии с местным нормативным актом, с которым работник должен быть ознакомлен по списку; Разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, и эти лица имеют право получать только те личные данные, которые необходимы для выполнения определенных функций; Не запрашивать информацию о состоянии здоровья работника, за исключением информации, относящейся к вопросу о возможности трудовой функции работника; Передавать персональные данные сотрудника Представителей работников в порядке, установленном Трудовым кодексом и другими федеральными законами, и ограничивают эту информацию только теми личными данными сотрудника, которые необходимы им для выполнения своих функций.

    Информация, касающаяся персональных данных работника, может быть предоставлена ​​государственным органам в порядке, установленном федеральным законом.

    Работодатель не может предоставлять личные данные третьим лицам без письменного согласия работника, за исключением случаев, когда это необходимо для предотвращения угроз жизни и здоровью работника и в случаях, установленных федеральным законом.

    Если лицо, обратившееся с просьбой, не предусмотренное федеральным законодательством для получения персональных данных работника, либо отсутствует письменное согласие работника на предоставление его / ее личной информации, работодатель обязан отказаться от предоставления персональных данных. Лицо, сделавшее запрос, издает письменное уведомление об отказе предоставить личные данные, копию уведомления, поданного в личное дело сотрудника.

    Личные данные могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в той мере, в какой это необходимо для выполнения ими своих функций.

    Работодатель должен вести журнал регистрации, выданный персональными данными сотрудников, который записывает в запросе записанную информацию о человеке, пославшем дату запроса о передаче персональных данных, или о дате уведомления об отказе предоставить личные данные, а также определяет, какая информация была передана.

    1.5 Защита информации при работе с персональным компьютером

    Утечка конфиденциальной информации с персональных компьютеров (ПК) может происходить по следующим каналам:

    · Организационный канал через персонал злоумышленника, его приятеля, власть преступника,

    · Боковое электромагнитное излучение от ПК и линий связи,

    · Вмешательство сигнала угрозы злоумышленника в линию связи, схему заземления и источник питания,

    · Акустические сигналы,

    · Использование встроенных подслушивающих устройств, подслушивание с сильно поцарапанных дисков, ленточный принтер.

    Основным источником высокочастотного электромагнитного излучения является дисплей. Дисплей изображения можно снимать и воспроизводить на экране другого дисплея на расстоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через соединительный провод. Однако основным виновником потери электронной информации всегда является.

    Защита данных должна быть обеспечена на всех технологических этапах обработки информации и во всех режимах работы, в том числе во время ремонтных работ и работ по техническому обслуживанию. Программное обеспечение и технические средства защиты не должны существенно ухудшать функциональные характеристики ПК (надежность, производительность).

    Организация системы информационной безопасности включает в себя:

    · Защита границ охраняемой территории,

    · Защита линий связи между ПК в одной комнате,

    · Защита линий связи в различных областях, защита линий связи за пределами охраняемой территории (территории).

    Защита информации включает в себя ряд конкретных групп мер:

    · Меры организационно-правового характера: режим и защита, эффективная обработка электронных документов - намывная защита информации, персонала,

    · Инженерно-технические: расположение ПК, экранирование помещений, линий связи, помехи и т. д.

    · Меры, которые должны быть решены путем программирования: регулирование прав доступа, защита от вирусов, стирание информации до несанкционированного доступа, кодирование информации, введенной в ПК

    · Аппаратная защита: выключение ПК в случае неправильных действий пользователя или несанкционированного доступа.

    В помещениях, где обработка информации происходит на вашем ПК, должен быть инструмент противодействия техническим средствам промышленного шпионажа. Для хранения сейфов, бесперебойного питания и кондиционеров, оснащенных средствами технической защиты.

    Комплекс программно-аппаратных средств и организационные (процедурные) решения по защите информации от несанкционированного доступа состоит из четырех элементов:

    · контроль доступа;

    Регистрация и учет;

    · Криптографическая;

    · Обеспечить целостность.

    Надлежащая организация контроля доступа к конфиденциальной информации является важной частью системы защиты электронной информации. Внедрение системы доступа, как к традиционным, так и к электронным документам на основе контент-анализа, что является основным критерием четкого определения: кто из лидеров, кто из исполнителей (сотрудников), как, когда и с какими категориями документов допускает Вы встречаетесь с людьми или работаете. Любая ссылка на конфиденциальный документ для ознакомления С ним в любой форме (в том числе случайным, несанкционированным) записывается в регистрационную карточку документа и на сам документ в виде штампа и подписей лиц, которые получили доступ к документу. Этот факт также указывается в карточном счете знания сотрудника в тайне фирмы.

    Организуя доступ сотрудников к чувствительным массивам электронных документов и баз данных, необходимо помнить о его многоступенчатом характере. Мы можем выделить следующие основные компоненты:

    · Доступ к персональному компьютеру, серверу или рабочей станции;

    · Доступ к компьютерным носителям, хранящимся за пределами ПК;

    · Прямой доступ к базам данных и файлам.

    Доступ к персональному компьютеру, серверу или рабочей станции, используемой для обработки конфиденциальной информации, обеспечивает:

    · Определение и регулирование первого руководителя персонала фирмы, имеющего право доступа (входа) в помещение, в котором есть соответствующее вычислительное оборудование, аппаратура связи;

    · Регулирование первого лидера временного способа нахождения этих лиц в упомянутых помещениях; Личная и временная регистрация (улавливание) руководителя Департамента или деятельности компании разрешения и периода работы этих лиц в другое время (например, вечерние часы, выходные и т. д.);

    · Организация защиты этих объектов в рабочее и нерабочее время, правила, определяющие открытие и закрытие технических средств защиты информации и сигнализации; Определение правил производства защиты помещений; Регулирование работы этого оборудования на рабочем месте;

    · Управление режимом входа (необходимой ширины полосы) в указанные помещения и из них; · Организация мероприятий по защите персонала в экстремальных ситуациях или при авариях машин и оборудования помещений;

    · Организация вывоза из указанных помещений материальных ценностей, оборудования и бумажных носителей; Контроль вставки в комнату и личные вещи персонала.

    Для обеспечения безопасности информации на ПК и в локальной сети необходима эффективная связь машины и неинвазивного для защиты вашей конфиденциальной информации. В этой связи важна важная соответствующая техническая защита носителей конфиденциальной информации (машиночитаемых документов) до этапов виноделия при их учете, обработке и хранении. Именно на этих этапах, особенно вероятность потери машиночитаемого документа. Эта проблема не имеет отношения к СМИ, содержащим публичную информацию. В основе сохранения электронных носителей конфиденциальных документов, вне машины, в настоящее время используются эффективно установленные принципы и методы обеспечения документов в традиционной технологической системе.

    В конце дня исполнители должны переместить всю конфиденциальную информацию с компьютера на дискету, чтобы стереть информацию с жестких дисков, проверить все конфиденциальные документы (бумажные, магнитные и другие носители) и обеспечить их полноту и представить Офис персонала. Оставлять конфиденциальные документы на рабочем месте не разрешается. Он также запрещает хранить на рабочем месте подрядчика копии конфиденциальных документов.

    Лицам, имеющим доступ к ПК, запрещается:

    · Раскрывать информацию о характере автоматических обработок без контроля, принимать или передавать их без покраски в регистрационной форме, писать ПК с загруженной памятью бесконтрольно, · Использование неучтенных магнитных носителей, создание неучтенных копий документов.

    После изготовления бумажный документ и его электронная копия будут удалены, если он не присоединен к документу или не сохранен для справочных целей. Знак об уничтожении электронных копий должен быть внесен в регистрационную карточку документа и перевозчика и обеспечен двумя картинами.

    Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность кражи, принуждения к неисправности или уничтожения содержащейся в нем информации и в соответствии с техническими условиями производителя. Носители хранятся вертикально в специальных ячейках металлического шкафа или сейфа. Номера в ячейках должны соответствовать номерам счетов перевозчиков. Неприемлемое воздействие на носители тепла, УФ и магнитного излучения. Магнитные носители, содержащие конфиденциальную информацию, утратившую практическую ценность, уничтожаются актом с последующей записью в формах счетов.

    Чтобы контролировать и поддерживать обработку информации на ПК, вам необходимо:

    · Периодически проверять наличие электронных документов и структурных баз данных

    · Проверить порядок учета, хранения и обработки магнитных носителей и электронных документов

    · Систематически проводить просветительскую работу с персоналом, занимающимся обработкой конфиденциальной информации на ПК,

    · Реально поддерживать личную ответственность руководителей и сотрудников за соблюдение требований работы с конфиденциальной информацией на ПК;

    · Выполнять действия для сведения к минимуму круга сотрудников, которые могут обрабатываться с помощью ПК Информацию и право на вход в помещения, которые являются компьютерами, обрабатывающими эту информацию

    1.6 Контроль защиты

    информации

    Понимание между руководством компании и работниками не означает полную свободу в организации рабочих процессов и желание выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководители всех рангов и службы безопасности должны организовывать регулярный мониторинг работы сотрудников с точки зрения их соответствия требованиям защиты информации.

    Основными формами контроля могут быть:

    · Аттестация работников;

    · Отчеты руководителей отделов о рабочих подразделениях и государственной системе информационной безопасности;

    · Регулярные проверки руководством компании и соблюдение безопасности работниками требований к защите информации;

    · самоконтроль.

    Оценка эффективности является одной из наиболее эффективных форм мониторинга их деятельности в профессиональной сфере (трудолюбие, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, самоотверженность, организация и т. д.) И в соответствии с информационной безопасностью Компания.

    С точки зрения соответствия требованиям защиты информации, проверенной оператором, знание соответствующих нормативных и инструктивных документов, способность применять требования этих документов на практике, отсутствие нарушений в обработке чувствительных документов, возможность общаться с посторонними без раскрытие секретов компании и т. д.

    По результатам аттестации выдается приказ (приказ), который отражает решения аттестационной комиссии о содействии, переаттестации, продвижении или увольнении сотрудников. Комиссия по сертификации также может принимать решения об удалении работника с работы с информацией и документами, составляющими коммерческую тайну.

    Еще одной формой контроля являются слушания от руководителей департаментов и руководителя службы безопасности на совещании, первого руководителя компании о статусе системы информационной безопасности и выполнении ее требований кадровыми подразделениями. В то же время решения собрания принимаются по фактам нарушения сотрудниками установленных правил охраны коммерческой тайны.

    Форма мониторинга - также регулярная проверка сотрудников (в том числе хорошо функционирующих) правил работы с конфиденциальной информацией, документами и базами данных. Инспекции проводятся руководителями департаментов и направлений, первым заместителем руководителя и сотрудниками службы безопасности.

    Проверки могут быть запланированными и незапланированными (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения в раскрытии или утечке информации.

    Самоконтроль заключается в проверке руководителями и исполнителями полноты и правильности применимых инструктивных положений и немедленного информирования служб безопасности и непосредственного руководителя фактов потери документов, потери по любой причине, лица, раскрывающего ценную информацию Или других служащих информации, составляющей тайну компании, нарушение права работников на защиту данных.

    При работе с персоналом фирмы следует ориентироваться не только на сотрудников, работающих с конфиденциальной информацией. Под контролем должны находиться лица, которые не имеют доступа к секретам Компания. Обратите внимание, что эти работники могут быть посредниками в действиях злоумышленника: при проведении электронного шпионажа, создании условий для кражи документов, связанных с удалением этих копий и т. д.

    Вы также должны помнить, что сотрудники, обладающие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению конфиденциальности. Ограничение свободы человека при использовании информации может привести к стрессу, нервным срывам. Сохранение чего-то в секрете противоречит человеческой потребности в общении посредством обмена информацией. В этой связи особенно важно, чтобы умственное отношение команды и отдельных сотрудников всегда было в центре внимания руководства и безопасности фирмы.

    В случае установления фактов невыполнения любым из руководителей или работников требований к защите информации к ним должны применяться меры наказания и наказания в соответствии с внутренними правилами. Важно, чтобы наказание было неизбежным и своевременным, независимо от старшинства сотрудника и его отношений с руководством фирмы.

    Одновременно с виновным лицом, ответственным за разглашение информации, составляющей коммерческую тайну, являются руководители компании и ее структурных подразделений, направления деятельности, филиалы, так как они несут полную ответственность за разработку и реализацию мер по обеспечению информационной безопасности для всей компании виды деятельности.

    Информационная база для контроля персонала, владеет конфиденциальной информацией, основана на анализе степени осведомленности сотрудников в секретах компании. Эта работа является частью комплексного аналитического исследования каналов поиска и обнаружения потери конфиденциальной информации сотрудников. Объектами комплексных аналитических исследований являются: идентификация, классификация и постоянный анализ источников и объективных каналов Распространение конфиденциальной информации, а также выявление и анализ степени серьезности источников угрозы информации. Важный профилактический контроль за сохранностью ценной информации.

    В то же время подлежит особому (экстремальному) учету всех замеченных несанкционированных или ошибочных действий персонала документов и информации, нарушения доступа к информации и правил работы с конфиденциальными документами и электронными базами данных. Такие инциденты подлежат оперативному, тщательному сравнительному анализу, и результаты анализа следует сообщать непосредственно генеральному директору компании.

    Для целей превентивного контроля, рекомендуемого для последующего учета и анализа действий против сотрудников, которые имеют или могут иметь конфиденциальную информацию:

    · Анализ реального состава известен персоналу конфиденциальной информации и динамике его распространения в структурных подразделениях компании;

    · Анализ степени знания конфиденциальной информации руководством компании, руководителями подразделений, сферами деятельности и каждым сотрудником, то есть уровнем и динамикой их реального осознания секретов компании;

    · Анализ выявленных потенциальных и фактических угроз персоналу в целом и каждому отдельному работнику по приобретению ценной информации фирмы (конкурентов, конкурентов, преступных организаций и отдельных криминальных элементов);

    · Анализ эффективности защитных мер, принимаемых в отношении персонала, их эффективности в нормальных условиях и активных действий атакующего.

    Своевременное рассмотрение структуры конфиденциальной информации, известной каждому из сотрудников компании, является наиболее информативной частью аналитической работы в целом. Принимает во внимание любые контакты любой сотрудник с конфиденциальной информацией, как авторизованный, так и случайный (неверный). Субъект также учитывает выявленное несанкционированное раскрытие информации, к которой у сотрудника было разрешено доступ, в том числе несанкционированное раскрытие информации, у сотрудника нет доступа к работе с конфиденциальной информацией.

    Для записи и последующего анализа степени осведомленности сотрудников в секретах компании существует специальная учетная форма. Традиционная (карточная) учетная или электронная форма должна содержать ряд существенных областей, что позволяет сравнить функциональные обязанности работника и структуру конфиденциальной информации, полученной сотрудником, и которая должна соответствовать видам работ. Целесообразно включить в форму заявки следующие зоны:

    · Функциональные обязанности работника на участке, исполнение которого используется, конфиденциальная информация (для утвержденных должностных инструкций);

    · Изменение и дополнение зон к функциональным обязанностям работника с указанием документа причины, его даты и имен наблюдателя, подписавшего документ;

    · Территориальный стандарт структуры конфиденциальной информации или ее индексов согласно перечню конфиденциальной информации компании, что позволило работнику в соответствии с должностной инструкцией (в том числе наименование документа о допуске, его даты, номер И имена наблюдателя, подписавшего документ);

    · Внесение изменений в зону и внесение изменений в состав конфиденциальной информации, что позволило сотруднику в связи с пересмотром его должностных обязанностей (с указанием имен и документов, даты приема, имена руководителей, подписавших документы);

    · Документально подтвержденная информация (документы) в области, которая встречается или имеет член, указывающий названия документов Их даты и номера, краткое содержание, целевое использование документов, содержащихся в конфиденциальной информации, или индексы для перечисления имен руководителей разрешительных документов;

    · Область недокументированной конфиденциальной информации, которая стала известна сотруднику, с указанием даты и цели обзора, имена Директора, разрешающего введение, состав конфиденциальной информации и их индексы в списке;

    · Зона обнаружения несанкционированного ознакомления сотрудника с конфиденциальной информацией с датой экспертизы, условиями или основаниями для проверки, именами виновных сотрудников, местом рассмотрения, составом конфиденциальной информации и их индексами в списке.

    Анализ выполняется путем сравнения содержимого записей в зонах и индексов, известных конфиденциальной информации сотрудника, то есть поиска несоответствий.

    По фактам раскрытия или утечки конфиденциальной информации, потери документов и продуктов другие грубые нарушения правил защиты данных организовали внутреннее расследование. Служебное расследование проводится специальной комиссией, сформированной по приказу первого руководителя фирмы. Расследование предназначено для определения причин, всех обстоятельств и последствий, связанных с конкретным фактом, для установления масштабов преступников, размер фирмы, нанесший ущерб. Результаты расследования дают рекомендации по устранению причин происшествия.

    Планируйте расследование:

    Определение возможных вариантов инцидента (потеря, кража, уничтожение по небрежности, умышленная передача информации неосторожное раскрытие и т. д.); · Определение (планирование) конкретных действий проверки версии (осмотр помещений, черепица, просмотр документации, опрос сотрудников, письменное объяснение подозреваемого и т. д.);

    · Назначение лиц, ответственных за каждое событие;

    · Указать время каждого события;

    · Определение порядка документа;

    · Компиляция и анализ действий, выполненных для всех событий;

    · Определение причин потери информации, исполнителей, вид и размер ущерба;

    · Передача следствия с окончательными выводами первого руководителя фирмы для принятия решения.

    При проведении внутренних расследований все мероприятия обязательно документируются для последующего всестороннего анализа выводов. Обычно анализирует следующие типы документов:

    · Письменное объяснение респондентов, составленное в произвольной форме;

    · Акты проверки документации и областей, в которых указаны названия оценки, их должности, количество и виды проведенной проверки, результаты должны содержать подпись этих лиц и дату;

    · Другие документы, имеющие отношение к расследованию (сертификаты, заявления, планы, анонимные письма и т. Д.).

    Расследование службы проводится быстро. Согласно анализу составлен вывод о результатах внутреннего расследования, в котором подробно излагаются выполненные работы, причины и условия инцидента, а также полный анализ произошедшего. [14]
    1   2   3

    написать администратору сайта