Контроль защиты информации в ООО «База Производственного Обслуживания»

Взаимопонимание между руководством предприятия и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководители всех рангов и служба безопасности организовывают регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основными формами контроля:

- аттестация работников;

- отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;

- регулярные проверки руководством предприятия и службой безопасности соблюдения работниками требований по защите информации;

- самоконтроль.

Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности предприятия.

В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов предприятия и т.д.

По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить определение об отстранении сотрудника от работы с информацией и документами, составляющими секреты предприятия.

Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя предприятия о состоянии системы защиты информации и выполнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками установленных правил защиты секретов предприятия.

Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направлений, заместителями первого руководителя и работниками службы безопасности.

Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.

Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании службы безопасности и непосредственного руководителя о фактах утери документов, утрате по какой-либо причине ценной информации, разглашении лично или другими сотрудниками сведений, составляющих секреты предприятия, нарушении работниками порядка защиты информации.

При работе с персоналом предприятия следует сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к секретам предприятия. Следует учитывать, что эти работники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п.

Кроме того, необходимо помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека в использовании информации может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности человека в общении путем обмена информацией. В связи с этим особенно важно, чтобы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства предприятия и службы безопасности.

В случае установления фактов невыполнения любым из руководителей или работников требований по защите информации к ним в обязательном порядке применяются меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и своевременным, невзирая на должностной уровень работника и его взаимоотношения с руководством предприятия.

Одновременно с виновным лицом ответственность за разглашение сведений, составляющих секреты предприятия, несут руководители предприятия и его структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности предприятия.

Информационная база для контроля работы персонала, владеющего конфиденциальной информацией, формируется на основе анализа степени осведомленности работников в секретах предприятия. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персоналом конфиденциальной информации.

Объектами комплексного аналитического исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации.

Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю предприятия.

В целях превентивного контроля представляются следующие учетные и аналитические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:

- анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям предприятия;

- анализ степени владения конфиденциальной информацией руководством предприятия, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах предприятия;

- анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией предприятия (конкурентов, соперников, криминальных структур и отдельных преступных элементов);

- анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.

Своевременный учет состава конфиденциальной информации, известной каждому из работников предприятия, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника предприятия с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету выявленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, не имеющего допуска для работы с конфиденциальной информацией.

Для учета и последующего анализа степени осведомленности работников в секретах предприятия ведется специальная учетная форма.

Традиционная (карточная) или электронная учетная форма содержит ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, и который должен соответствовать выполняемым видам работы. Целесообразно включить в учетную форму следующие зоны:

- зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции);

- зона изменений и дополнений, внесенных в функциональные обязанности работника, с указанием документа - основания, его даты и фамилии руководителя, подписавшего документ;

- зона стандартного состава конфиденциальные сведений или их индексов, по перечню конфиденциальной информации предприятия, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

- зона изменений и дополнений в составе конфиденциальных сведений, к которым допускается работник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);

- зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами;

- зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений или их индексов по перечню;

- зона обнаруженного несанкционированного ознакомления работника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, состава конфиденциальных сведений или их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.

По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование.

Служебное расследование проводит специальная комиссия, формируемая приказом первого руководителя предприятия. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного предприятию ущерба. По результатам расследования даются рекомендации по устранению причин случившегося.

План проведения служебного расследования:

- определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);

- определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);

- назначение ответственных лиц за проведение каждого мероприятия;

- указание сроков проведения каждого мероприятия;

- определение порядка документирования;

- обобщение и анализ выполненных действий по всем мероприятиям;

- установление причин утраты информации, виновных лиц, вида и объема ущерба;

- передача материалов служебного расследования с заключительными выводами первому руководителю предприятия для принятия решения.

При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

- письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;

- акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и дата;

- другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).

Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.

Из выше сказанного можно сделать вывод, что на сегодняшний день личная тайна работника охраняется законом на самом высоком уровне. Законодатель предусмотрел практически все необходимые нормы для защиты этой категории правоотношений. В настоящее время, когда каждая вновь созданная фирма должна выполнять все требования действующего законодательства, а давно существующие организации должны поддерживать свой статус, знание законодательных основ, регламентирующих такой важный аспект работы с документами, как работа с персональными данными работника, является необходимым условием их существования. В каждой организации целесообразно разрабатывать локальные нормативные акты, регламентирующие работу с персональными данными конкретной организации. Такие нормативные акты будут учитывать ее специфику, и сделают работу в этой области более эффективной. Разработка в организации локальных нормативных актов по работе с персональными данными облегчит работу сотрудникам кадровой службы, поможет повысить уровень их компетенции, и позволит компании поддерживать свой высокий статус. А также, даст возможность безупречно организовать работу с персональными данными в организации, согласно всем требованиям действующего законодательства.

В отделе кадров ООО «База Производственного Обслуживания» хранится весь объем персональных данных работников ООО «База Производственного Обслуживания». Число сотрудников, которые могут иметь доступ к персональной информации работников ограничено списком лиц, доступ которых к персональным данным необходим для выполнения их служебных (трудовых) обязанностей.

Порядок функционирования кадровой службы ООО «База Производственного Обслуживания» подчинен решению задач обеспечения безопасности персональных сведений, их защиты от разного рода правонарушителей.

ЗАКЛЮЧЕНИЕ

Широкое распространение информационных технологий несет в себе как пользу, так и опасность. В частности это касается возможности свободно получать, обрабатывать и распространять сведения о гражданах страны. В последнее время распространение баз данных с номерами телефонов, местом жительства, имущественным положением и другой информацией приобрело большие масштабы, что приводит к нарушению прав граждан на конфиденциальность сведений о личной жизни. В целях защиты персональных данных приняты ряд федеральных законов. Не забыли и про работодателей. Они тоже обязаны принимать меры по охране персональных данных своих работников.

Персональные данные работника это вещи, с которыми сталкивается любой трудоспособный человек. И каждый человек заинтересован, чтобы его персональные данные были защищены в соответствии с трудовым законодательством.

Защита персональных данных работника является актуальной. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, а также в защите информации, обеспечивающей личную безопасность.

Порядок организации работы с персональными данными регламентируются правовыми и законодательными актами, нормативно-правовыми и нормативно-методическими документами. Именно на них и должен опираться специалист кадровой службы в своей деятельности. Законодательными актами регулируются порядок получения, обработки, хранения и использования персональной информации работника.

Существуют определенные личные сведения о человеке, которые он обязан сообщать о себе при приеме на работу. Охранять и рационально использовать эти сведения в соответствии с законодательством задача и обязанность кадровой службы организации, в которой работает человек. Появление в российском трудовом праве норм о защите персональных данных работника продиктовано необходимостью реализации в сфере труда общепризнанных норм и принципов международного права, применение которых гарантировано Конституцией Российской Федерации, которая в ст. 23 и 24 устанавливает, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну; сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

Особое внимание необходимо уделить разработке соответствующих документов по защите персональных данных работников в период трудовых отношений. Основными документами, подлежащими разработке в учреждении, организации являются:

- положение о персональных данных и их защите;

- инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;

- приказы о возложении персональной ответственности за защиту персональных данных работника;

- регламент допуска сотрудников к обработке персональных данных;

- перечень сотрудников, допущенных к обработке персональных данных (с правом записи и без такого права);

- должностные инструкции сотрудников, имеющих отношение к обработке персональных данных работника и т. д.

Надо отметить, что санкции, предусмотренные за нарушение законодательства по охране персональных данных работников, достаточно адекватны и соответствуют мере правонарушения. Но санкции скорее восстанавливают справедливость, нежели снижают количество правонарушений.

В государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока никак не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.

Исходя из того, что распространение конфиденциальной информации персонального характера представляет более существенную общественную опасность для граждан, нежели иные отношения, свойственные информационным процессам, решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.

Проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть, достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества.

В современных рыночных условиях результативность деятельности предприятия непосредственно связана со своевременным обеспечением необходимыми информационными ресурсами. Поведение нанимателя в отношении личных сведений о служащем регламентируется императивными нормами. Это обусловливается публичностью рассматриваемой сферы в целом и института охраны индивидуальных сведений служащего в частности. Право на обеспечение защиты персональной информации обладает абсолютным характером. Оно предоставлено каждому служащему безотносительно его личного вклада в достижение предприятием стоящих перед ним задач. В этой связи по ст. 86 ТК работнику не следует отказываться от своего права на защиту и сохранение тайны.

В настоящее время большую актуальность приобрела защита персональных данных работника. РФ – демократичная страна, в которой человек считается высшей ценностью. Поэтому законодательство, в первую очередь Конституция, особым образом оберегает личную жизнь каждого гражданина. Нормальное развитие общества возможно только тогда, когда люди, живущие в нем, будут чувствовать свое значение для государства, что проявляется в обеспечении защиты достоинства, чести, прав, сведений, которые составляют тайну частной жизни каждого человека.

Наши рекомендации