Защита персональных данных работника

align="justify">     - акустических сигналов,

     - через вмонтированные радиозакладки,  съема информации с плохо стертых  дискет, ленты принтера.

     Основным  источником высокочастотного электромагнитного  излучения является дисплей. Картинку дисплея можно уловить и воспроизвести на экране другого дисплея на расстоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через соединительные провода. Однако основным виновником утраты электронной информации всегда является человек.

     Защита  данных должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ЭВМ (надежность, быстродействие).¹⁷

     Организация системы защиты информации включает:

     - защиту границ охраняемой территории,

     - защиту линий связи между ЭВМ  в одном помещении,

     - защиту линий связи в различных помещениях, защиту линий связи, выходящих за пределы охраняемой зоны (территории).

     Защита  информации включает ряд определенных групп мер:

     - меры организационно-правового характера:  режим и охрана помещений, эффективное  делопроизводство по электронным документам – внемашинная защита информации, под бор персонала,

     - меры инженерно-технического характера:  место расположения ЭВМ, экранирование  помещений, линий связи, создание  помех и др.,

     - меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе, кодирование информации, вводимой в ЭВМ,

     - меры аппаратной защиты: отключение  ЭВМ при ошибочных действиях  пользователя или попытке несанкционированного  доступа.¹⁸

     Помещения, в которых происходит обработка информации на ЭВМ, должны иметь аппаратуру противодействия техническим средствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты.

     Комплекс  программно-технических средств  и организационных (процедурных) решений  по защите информации от несанкционированного доступа состоит из четырех элементов:

     - управления доступом;

     - регистрации и учета;

     - криптографической;

     - обеспечения целостности.

     Правильная  организация доступа - управление доступом к конфиденциальной информации является важнейшей составной частью системы  защиты электронной информации. Реализация системы доступа как к традиционным, так и электронным документам основывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей (сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые обращались к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне фирмы.

     Организуя доступ сотрудников фирмы к конфиденциальным массивам электронных документов и  базам данных, необходимо по мнить  о его многоступенчатом характере. Можно выделить следующие главные составные части доступа этого вида:

     - доступ к персональному компьютеру, сер веру или рабочей станции;

     - доступ к машинным носителя  информации, хранящимся вне ЭВМ;

     - непосредственный доступ к базам  данных и файлам.

     Доступ к персональному компьютеру, сер веру или рабочей станции, которые используются для обработки конфиденциальной ин формации, предусматривает:

     - определение и регламентацию  первым руководителем фирмы состава  сотрудников, имеющих право доступа  (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

     - регламентацию первым руководителем  временного режима нахождения  этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (на пример, в вечерние часы, выходные дни и др.);

     - организацию охраны этих помещений  в рабочее и нерабочее время,  определение правил вскрытия  помещений и отключения охранных технических средств информирования и сиг нализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

     - организацию контролируемого (в  необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

     - организацию действий охраны  и персонала в экстремальных  ситуациях или при авариях  техники и оборудования помещений;

     - организацию выноса из указанных  помещений материальных ценностей,  машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

     Безопасность  информации в ЭВМ и локальной  сети требует эффективной взаимосвязи  машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемо го документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.

     Перед началом обработки информации на ЭВМ сотрудник обязан убедиться  в отсутствии в помещении посторонних  лиц. При подходе такого лица к  сотруднику экран дисплея дол  жен быть немедленно погашен.

     В конце рабочего дня исполнители  обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с  жестких дисков, проверить наличие  всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу КД. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов.

     Лицам, имеющим доступ к работе на ЭВМ, запрещается:

     - разглашать сведения о характере  автоматизированной обработки конфиденциальной  информации и содержании используемой  для этого документации,

     - знакомиться с изображениями  дисплея рядом работающих сотрудников  или пользоваться их магнитными носителями без разрешения руководителя подразделения,

     - разглашать сведения о личных  паролях, используемых при идентификации  и защите массивов информации,

     - оставлять магнитные носители  конфиденциальной информации без  контроля, принимать или передавать их без росписи в учет ной форме, оставлять ЭВМ с загруженной памятью бесконтрольно,

     - пользоваться неучтенными магнитными  носителями, создавать неучтенные  копии документов.

     После изготовления бумажного варианта документа  его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями.

     Хранение  магнитных носителей и электронных  документов должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или уничтожения содержащейся в них информации, а также в соответствии с техническими условиями завода-изготовителя. Носители хранятся в вертикальном положении в специальных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответствовать учетным номерам носителей. Недопустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений.

     Магнитные носители, содержащие конфиденциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных фор мах.

     С целью контроля и поддержания  режима при обработке информации на ЭВМ необходимо:

     - периодически проводить проверки  наличия электронных документов и состава баз данных,

     - проверять порядок ведения учета,  хранения и обращения с магнитными  носителями и электронными документами,

     - систематически проводить воспитательную  работу с персоналом, осуществляющим  обработку конфиденциальной информации на ЭВМ,

     - реально поддерживать персональную  ответственность руководителей  и сотрудников за соблюдение  требований работы с конфиденциальной  информацией на ЭВМ,

     - осуществлять действия по максимальному  ограничению круга сотрудников,  допускаемых к обрабатываемой на ЭВМ конфиденциальной информации и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации.¹⁹ 

     2.4. Контроль защиты информации 

     Взаимопонимание между руководством фирмы и работниками  не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

     Основными формами контроля могут быть:

     - аттестация работников;

     - отчеты руководителей подразделений  о работе подразделений и состоянии  системы защиты информации;

     - регулярные проверки руководством  фирмы и службой безопасности соблюдения работниками требований по защите информации;

     - самоконтроль.

     Аттестация  работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности фирмы.

     В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д.

     По  результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о  поощрении, переаттестации, повышении  в должности или увольнении сотрудников. Аттестационная комиссия может также  выносить определение об отстранении сотрудника от работы с информацией и документами, составляющими секреты фирмы.