Ответственность за нарушение правил работы с персональными данными

Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

Защита информации при работе с ЭВМ

Утечка конфиденциальной информации от персональных ЭВМ может происходить по следующим каналам:

      организационному каналу через персонал, злоумышленника, его сообщника, силовым криминальным путем,

      побочных электромагнитных излучений от ЭВМ и линий связи,

      наводок злоумышленником опасного сиг­нала на линии связи, цепи заземления и элек­тропитания,

      акустических сигналов,

      через вмонтированные радиозакладки, съема информации с плохо стертых дискет, ленты принтера.

Основным источником высокочастотного электромагнитного излучения является дис­плей. Картинку дисплея можно уловить и вос­произвести на экране другого дисплея на рас­стоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через со­единительные провода. Однако основным ви­новником утраты электронной информации всегда является человек.

Защита данных должна обеспечиваться на всех технологических этапах обработки информа­ции и во всех режимах функционирования, в том числе при проведении ремонтных и рег­ламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные харак­теристики ЭВМ (надежность, быстродействие).

Организация системы защиты информа­ции включает:

      защиту границ охраняемой территории,

      защиту линий связи между ЭВМ в одном помещении,

      защиту линий связи в различных по­мещениях, защиту линий связи, выходящих за пределы охраняемой зоны (территории).

Защита информации включает ряд определенных групп мер:

      меры организационно-правового характе­ра: режим и охрана помещений, эффективное делопроизводство по электронным докумен­там – внемашинная защита информации, под­бор персонала,

      меры инженерно-технического характера: место расположения ЭВМ, экранирование по­мещений, линий связи, создание помех и др.,

      меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание информации при несанк­ционированном доступе, кодирование инфор­мации, вводимой в ЭВМ,

      меры аппаратной защиты: отключение ЭВМ при ошибочных действиях пользователя или попытке несанкционированного доступа.

Помещения, в которых происходит обра­ботка информации на ЭВМ, должны иметь ап­паратуру противодействия техническим сред­ствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кон­диционеры, оборудованные средствами тех­нической защиты.

Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов:

      управления доступом;

      регистрации и учета;

      криптографической;

      обеспечения целостности.

Правильная организация доступа - управ­ление доступом к конфиденциальной инфор­мации является важнейшей составной частью системы защиты электронной информации. Реализация системы доступа как к традици­онным, так и электронным документам осно­вывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей (сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомле­ние с ним в любой форме (в том числе слу­чайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые обращались к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне фирмы.

Организуя доступ сотрудников фирмы к конфиденциальным массивам электронных документов и базам данных, необходимо по­мнить о его многоступенчатом характере. Можно выделить следующие главные состав­ные части доступа этого вида:

      доступ к персональному компьютеру, сер­веру или рабочей станции;

      доступ к машинным носителя информации, хранящимся вне ЭВМ;

      непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, сер­веру или рабочей станции, которые исполь­зуются для обработки конфиденциальной ин­формации, предусматривает:

      определение и регламентацию первым ру­ководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычис­лительная техника, средства связи;

      регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и вре­менное протоколирование (фиксирование) руководителем подразделения или направле­ния деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (на­пример, в вечерние часы, выходные дни и др.);

      организацию охраны этих помещений в ра­бочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сиг­нализирования; определение правил поста­новки помещений на охрану; регламентацию работы указанных технических средств в ра­бочее время;

      организацию контролируемого (в необхо­димых случаях пропускного) режима входа в указанные помещения и выхода из них;

      организацию действий охраны и персона­ла в экстремальных ситуациях или при ава­риях техники и оборудования помещений;

      организацию выноса из указанных поме­щений материальных ценностей, машинных и бумажных носителей информации; конт­роль вносимых в помещение и выносимых персоналом личных вещей.

Безопасность информации в ЭВМ и локаль­ной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиден­циальных сведений. В связи с этим, важное актуальное значение имеет защита техничес­ких носителей конфиденциальной информа­ции (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемо­го документа. Подобная проблема несуще­ственна для носителей, содержащих откры­тую информацию. В основе обеспечения сохранности носителей электронных конфи­денциальных документов, находящихся вне машины, в настоящее время эффективно ис­пользуются зарекомендовавшие себя принци­пы и методы обеспечения безопасности доку­ментов в традиционной технологической системе.

Перед началом обработки информации на ЭВМ сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея дол­жен быть немедленно погашен.

В конце рабочего дня исполнители обяза­ны перенести всю конфиденциальную инфор­мацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденци­альных документов (на бумажных, магнитных и иных носителях), убедиться в их комплект­ности и сдать в службу КД. Оставлять конфи­денциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфи­денциальных документов.

Лицам, имеющим доступ к работе на ЭВМ, запрещается:

      разглашать сведения о характере автома­тизированной обработки конфиденциальной информации и содержании используемой для этого документации,

      знакомиться с изображениями дисплея ря­дом работающих сотрудников или пользо­ваться их магнитными носителями без разре­шения руководителя подразделения,

      разглашать сведения о личных паролях, ис­пользуемых при идентификации и защите массивов информации,

      оставлять магнитные носители конфиден­циальной информации без контроля, прини­мать или передавать их без росписи в учет­ной форме, оставлять ЭВМ с загруженной памятью бесконтрольно,

      пользоваться неучтенными магнитными носителями, создавать неучтенные копии до­кументов.

После изготовления бумажного варианта документа его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями.

Хранение магнитных носителей и элект­ронных документов должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или унич­тожения содержащейся в них информации, а также в соответствии с техническими усло­виями завода-изготовителя. Носители хра­нятся в вертикальном положении в специаль­ных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответ­ствовать учетным номерам носителей. Недо­пустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений.

Магнитные носители, содержащие конфи­денциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных фор­мах.

С целью контроля и поддержания режима при обработке информации на ЭВМ необхо­димо:

      периодически проводить проверки нали­чия электронных документов и состава баз данных,

      проверять порядок ведения учета, хране­ния и обращения с магнитными носителями и электронными документами,

      систематически проводить воспитатель­ную работу с персоналом, осуществляющим обработку конфиденциальной информации на ЭВМ,

      реально поддерживать персональную от­ветственность руководителей и сотрудников за соблюдение требований работы с конфи­денциальной информацией на ЭВМ,

      осуществлять действия по максимальному ограничению круга сотрудников, допускае­мых к обрабатываемой на ЭВМ конфиденци­альной информации и праву входа в помеще­ния, в которых располагаются компьютеры, для обработки этой информации.

Контроль защиты информации

Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководите­лям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основными формами контроля могут быть:

      аттестация работников;

      отчеты руководителей подразделений о работе подразделений и состоянии си­стемы защиты информации;

      регулярные проверки руководством фирмы и службой безопасности соблю­дения работниками требований по защи­те информации;

      самоконтроль.

Аттестация работников представляет­ся одной из наиболее действенных форм контроля их деятельности как в профес­сиональной сфере (исполнительность, ответственность, качество и эффектив­ность выполняемой работы, профессио­нальный кругозор, организаторские спо­собности, преданность делу организации и т. д.), так и в сфере соблюдения инфор­мационной безопасности фирмы.

В части соблюдения требований по защите информации проверяется зна­ние работником соответствующих нормативных и инструктивных доку­ментов, умение применять требова­ния этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными доку­ментами, умение общаться с посторон­ними лицами, не раскрывая секретов фирмы и т.д.

По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комис­сии о поощрении, переаттестации, повы­шении в должности или увольнении со­трудников. Аттестационная комиссия может также выносить определение об от­странении сотрудника от работы с информацией и документами, составляющи­ми секреты фирмы.

Другой формой контроля является заслушивание руководителей структур­ных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоя­нии системы защиты информации и вы­полнении ее требований работниками подразделений. Одновременно на сове­щании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы.

Формой контроля являются также ре­гулярные проверки выполнения сотруд­никами (в том числе хорошо работающи­ми) правил работы с конфиденциальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направле­ний, заместителями первого руководите­ля и работниками службы безопасности.