В связи с этим работодатели могут получать от работников информацию только в добровольном порядке и строго ограниченную целями, определенными в законодательстве
Скачать 467.54 Kb.
|
ГЛАВА II. ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ 2.1 Правовое регулирование с работе с персональными данными Законодательство в области регулирования работы с персональными данными регулирует отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных. Причем, это законодательство существует как самостоятельное наряду с общим законодательством о защите права на неприкосновенность частной жизни и обеспечивает: защиту персональных данных лиц от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий; обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям; обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий субъектов персональных данных; обеспечение контроля за использованием персональных данных со стороны самого субъекта. Порядок организации работы с персональными данными регламентируются правовыми и законодательными актами, нормативно-правовыми и нормативно-методическими документами. Именно на них и должен опираться специалист кадровой службы в своей деятельности. Законодательными актами регулируются порядок получения, обработки, хранения и использования персональной информации работника. Рассмотрим основные. Основным документом, регламентирующим работу с персональными данными является Трудовой кодекс РФ. В нем дается понятие персональных данных работника, устанавливается регулирование работы (обработки) с персональными данными человека, приводятся общие требования к обработке сведений, содержащих персональные данные, даются гарантии защиты ПДР, определяется порядок хранения, использования и передачи персональных данных работников. Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" разрабатывался в целях совершенствования законодательства в сфере применения информационных технологий, обеспечения защиты информации и осуществления права на поиск, получение, передачу, производство и распространение информации. Его положения направлены на достижение задач по устранению имевшихся пробелов и противоречий в законодательстве; решение актуальных проблем, которые обозначила практика применения действовавшего ранее Федерального закона "Об информации, информатизации и защите информации"; на обновление и оптимизацию понятийного аппарата; формирование необходимой нормативной правовой базы для защиты публичных и гражданских прав на информацию; создание правовых условий для эффективного взаимодействия между различными субъектами информационного сообщества и успешного рынка информационных услуг и информационных технологий. Принятие указанного Федерального закона являлось одним из необходимых условий создания информационного общества, о задаче построения которого говорится в Федеральной целевой программе "Электронная Россия (2002-2010 годы)", и вхождения России в мировое информационное пространство. Правовое регулирование обработки персональных данных было необходимо для обеспечения конституционных прав человека и гражданина, в частности права на неприкосновенность частной жизни, а также с целью приведения российского законодательства в соответствие с общепринятыми международными нормами и принципами. Более чем в 20 странах мира существуют законы, сходные с вновь принятым Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", что означает унифицированное взаимодействие государств в области работы с персональными данными. Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" направлен на: обеспечение правовой защиты граждан в условиях постоянного увеличения количества баз данных, содержащих персональные данные; создание правовой основы для адекватной защиты персональных данных граждан от интереса к ним со стороны криминальных структур; регулирование трансграничной передачи персональных данных в рамках международных соглашений; совершенствование организационно-правового обеспечения физических и юридических лиц, органов государственной власти, органов местного самоуправления по хранению, использованию, передаче, уничтожению и совершению иных действий с персональными данными. За несоблюдение установленного порядка работы со сведениями конфиденциального характера устанавливается административная, гражданская и уголовная ответственность. Ответственность Работодателя за нарушение законодательства о труде регламентируется, главным образом, Трудовым кодексом РФ, Кодексом об административных правонарушениях (КоАП) РФ, Уголовным кодексом РФ (глава19.), а также рядом законов РФ. В соответствии с Федеральным законом от 27.07.04 №79-ФЗ "О государственной гражданской службе Российской Федерации" государственный служащий обязан соблюдать установленный порядок работы со служебной информацией, хранить государственную и иную охраняемую законом тайну, а также не разглашать ставшие ему известными в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан. Согласно Указу Президента РФ от 01.06.98 № 640 "О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы" федеральные государственные служащие, уполномоченные на ведение и хранение личных дел (формирование их копий) упомянутых в наименовании Указа лиц, могут привлекаться в соответствии с законодательством РФ к дисциплинарной и иной ответственности за разглашение конфиденциальных сведений, содержащихся в указанных личных делах, а также и за иные нарушения порядка ведения личных дел, установленных этим Указом (п. 7). Кроме того, важными законами в области работы с персональными данными являются Федеральный закон "Об электронной цифровой подписи" и Федеральный закон РФ "Об обществах с ограниченной ответственностью". В своей работе кадровые службы организаций опираются также на ФЗ "Об архивном деле в Российской Федерации" и Постановление правительства РФ О трудовых книжках № 225 от 16 апреля 2003 г. Данные законы регламентируют порядок оформления, ведения, учета и хранения трудовых книжек работников, в которых содержатся персональные данные работника. Определяют порядок передачи в архив трудовых книжек и других документов, содержащих ПДР. 2.2 Защита персональных данных при работе с ЭВМ Утечка конфиденциальной информации от персональных ЭВМ может происходить по следующим каналам: — организационному каналу через персонал, злоумышленника, его сообщника, силовым криминальным путем, — побочных электромагнитных излучений от ЭВМ и линий связи, — наводок злоумышленником опасного сиг нала на линии связи, цепи заземления и электропитания, — акустических сигналов, — через вмонтированные радиозакладки, съема информации с плохо стертых дискет, ленты принтера. Основным источником высокочастотного электромагнитного излучения является дисплей. Картинку дисплея можно уловить и воспроизвести на экране другого дисплея на расстоянии 200 — 300м. Печатающие устройства всех видов излучают информацию через соединительные провода. Однако основным виновником утраты электронной информации всегда является человек. Защита данных должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ЭВМ (надежность, быстродействие). Организация системы защиты информации включает: — защиту границ охраняемой территории, — защиту линий связи между ЭВМ в одном помещении, — защиту линий связи в различных помещениях, защиту линий связи, выходящих за пределы охраняемой зоны (территории). Защита информации включает ряд определенных групп мер: — меры организационно-правового характера: режим и охрана помещений, эффективное делопроизводство по электронным документам – вне машинная защита информации, под бор персонала, — меры инженерно-технического характера: место расположения ЭВМ, экранирование помещений, линий связи, создание помех и др., — меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе, кодирование информации, вводимой в ЭВМ, — меры аппаратной защиты: отключение ЭВМ при ошибочных действиях пользователя или попытке несанкционированного доступа. Помещения, в которых происходит обработка информации на ЭВМ, должны иметь аппаратуру противодействия техническим средствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты. Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов: — управления доступом; — регистрации и учета; — криптографической; — обеспечения целостности. Правильная организация доступа — управление доступом к конфиденциальной информации является важнейшей составной частью системы защиты электронной информации. Реализация системы доступа как к традиционным, так и электронным документам основывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей(сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые обращались к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне фирмы. Организуя доступ сотрудников фирмы к конфиденциальным массивам электронных документов и базам данных, необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части доступа этого вида: — доступ к персональному компьютеру, сер веру или рабочей станции; — доступ к машинным носителям информации, хранящимся вне ЭВМ; — непосредственный доступ к базам данных и файлам. Доступ к персональному компьютеру, сер веру или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает: — определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа(входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи; — регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (на пример, в вечерние часы, выходные дни и др.); — организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время; — организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них; — организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений; — организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей. Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и вне машинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на вне машинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе. Перед началом обработки информации на ЭВМ сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея дол жен быть немедленно погашен. В конце рабочего дня исполнители обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу КД. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов. Лицам, имеющим доступ к работе на ЭВМ, запрещается: — разглашать сведения о характере автоматизированной обработки конфиденциальной информации и содержании используемой для этого документации, — знакомиться с изображениями дисплея рядом работающих сотрудников или пользоваться их магнитными носителями без разрешения руководителя подразделения, — разглашать сведения о личных паролях, используемых при идентификации и защите массивов информации, — оставлять магнитные носители конфиденциальной информации без контроля, принимать или передавать их без росписи в учет ной форме, оставлять ЭВМ с загруженной памятью бесконтрольно, — пользоваться неучтенными магнитными носителями, создавать неучтенные копии документов. После изготовления бумажного варианта документа его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями. Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или уничтожения содержащейся в них информации, а также в соответствии с техническими условиями завода-изготовителя. Носители хранятся в вертикальном положении в специальных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответствовать учетным номерам носителей. Недопустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений. Магнитные носители,с одержащие конфиденциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных фор мах. С целью контроля и поддержания режима при обработке информации на ЭВМ необходимо: — периодически проводить проверки наличия электронных документов и состава баз данных, — проверять порядок ведения учета, хранения и обращения с магнитными носителями и электронными документами, — систематически проводить воспитательную работу с персоналом, осуществляющим обработку конфиденциальной информации на ЭВМ, — реально поддерживать персональную ответственность руководителей и сотрудников за соблюдение требований работы с конфиденциальной информацией на ЭВМ, — осуществлять действия по максимальному ограничению круга сотрудников, допускаемых к обрабатываемой на ЭВМ конфиденциальной информации и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации. 2.3 Контроль защиты информации Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации. Основными формами контроля могут быть: - аттестация работников; - отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации; - регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации; - самоконтроль. Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т.д.), так и в сфере соблюдения информационной безопасности фирмы. В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д. По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить определение об отстранении сотрудника от работы с информацией и документами, составляющими секреты фирмы. Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы. Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных. Проверки проводятся руководителями структурных подразделений и направлений, заместителями первого руководите ля и работниками службы безопасности. Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации. Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании службы безопасности и непосредственного руководителя о фактах утери документов, утрате по какой-либо причине ценной информации, разглашении лично или другими сотрудниками сведений, составляющих секреты фирмы, нарушении работниками порядка защиты информации. При работе с персоналом фирмы следует сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к секретам фирмы. Следует учитывать, что эти работники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п. Кроме того, необходимо помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека в использовании информации может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности чело века в общении путем обмена информацией. В связи с этим особенно важно, что бы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности. В случае установления фактов невыполнения любым из руководителей или работников требований по защите ин формации к ним в обязательном порядке должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и своевременным, невзирая на должностной уровень работника и его взаимоотношения с руководством фирмы. Одновременно с виновным лицом ответственность за разглашение сведений, составляющих секреты фирмы, несут руководители фирмы и ее структурных под разделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы. Информационная база для контроля работы персонала, владеющего конфиденциальной информацией, формируется на основе анализа степени осведомленности работников в секретах фирмы. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персона лом конфиденциальной информации. Объектами комплексного аналитического исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации. Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю фирмы. В целях превентивного контроля рекомендуются следующие учетные и аналитические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией: - анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям фирмы; - анализ степени владения конфиденциальной информацией руководством фирмы, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы; - анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов); - анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника. Своевременный учет состава конфиденциальной информации, известной каждому из работников фирмы, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника фирмы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету вы явленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, вообще не имеющего допуска для работы с конфиденциальной информацией. Для учета и последующего анализа степени осведомленности работников в секретах фирмы ведется специальная учетная форма. Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, и который должен соответствовать выполняемым видам работы. Целесообразно включить в учетную форму следующие зоны: - зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции); - зона изменений и дополнений, внесенных в функциональные обязанности работника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ; - зона стандартного состава конфиденциальные сведений или их индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ); - зона изменений и дополнений в составе конфиденциальных сведений, к которым допускается работник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы); - зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами; - зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии руководи теля, разрешившего ознакомление, со става конфиденциальных сведений или их индексов по перечню; - зона обнаруженного несанкционированного ознакомления работника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, со става конфиденциальных сведений или их индексов по перечню. Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск не соответствия. По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование. Служебное расследование проводит специальная комиссия, формируемая приказом первого руководителя фирмы. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба. По результатам расследования даются рекомендации по устранению причин случившегося. План проведения служебного рас следования: - определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.); - определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.); - назначение ответственных лиц за проведение каждого мероприятия; - указание сроков проведения каждого мероприятия; - определение порядка документирования; - обобщение и анализ выполненных действий по всем мероприятиям; - установление причин утраты информации, виновных лиц, вида и объема ущерба; - передача материалов служебного рас следования с заключительными вывода ми первому руководителю фирмы для принятия решения. При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов: - письменные объяснения опрашиваемых лиц, составляемые в произвольной форме; - акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и дата; - другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.). Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного рас следования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего. |