Ответственность за нарушение правил работы с персональными данными

информации.

Самоконтроль состоит в проверке самими руководителями и исполнителями

полноты и правильности выполнения ими действующих инструктивных положений, а

также в немедленном информировании службы безопасности и непосредственного

руководителя о фактах утери документов, утрате по какой-либо причине ценной

информации, разглашении лично или другими сотрудниками сведений,

составляющих секреты фирмы, нарушении работниками порядка защиты информации.

При работе с персоналом фирмы следует сосредоточивать внимание не только на

сотрудниках, работающих с конфиденциальной информацией. Под контролем должны

находиться также лица, не имеющие доступа к секретам фирмы. Следует

учитывать, что эти работники могут быть посредниками в действиях

злоумышленника: в проведении электронного шпионажа, создании условий для

хищения документов, снятии с них копий и т.п.

Кроме того, необходимо помнить, что работники, владеющие конфиденциальной

информацией, вынуждены действовать в рамках требований, регламентированных

инструкцией по обеспечению режима конфиденциальности. Ограничение свободы

человека в использовании информации может приводить к стрессам, нервным

срывам. Сохранение чего-то в тайне противоречит потребности человека в

общении путем обмена информацией. В связи с этим особенно важно, чтобы

психологический настрой коллектива и отдельных работников всегда находился в

центре внимания руководства фирмы и службы безопасности.

В случае установления фактов невыполнения любым из руководителей или

работников требований по защите информации к ним в обязательном порядке

должны применяться меры порицания и наказания в соответствии с правилами

внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и

своевременным, не взирая на должностной уровень работника и его

взаимоотношения с руководством фирмы.

Одновременно с виновным лицом ответственность за разглашение сведений,

составляющих секреты фирмы, несут руководители фирмы и ее структурных

подразделений, направлений деятельности, филиалов, т.к. они полностью

отвечают за разработку и реализацию мер, обеспечивающих информационную

безопасность всех видов деятельности фирмы.

Информационная база для контроля работы персонала, владеющего

конфиденциальной информацией, формируется на основе анализа степени

осведомленности работников в секретах фирмы. Эта работа входит в состав

комплексного аналитического исследования по поиску и обнаружению каналов

утраты персоналом конфиденциальной информации.

Объектами комплексного аналитического исследования являются: выявление,

классификация и постоянное изучение источников и объективных каналов

распространения конфиденциальной информации, а также обнаружение и анализ

степени опасности источников угрозы информации. Важен превентивный контроль

безопасности ценной информации.

Одновременно подлежат специальному (экстремальному) учету все замеченные

несанкционированные или ошибочные действия персонала с документами и

информацией, нарушения системы доступа к информации и правил работы с

конфиденциальными документами и базами электронных данных. Подобные факты

подлежат оперативному, тщательному сравнительному анализу, а результаты

анализа должны докладываться непосредственно первому руководителю фирмы.

В целях превентивного контроля рекомендуются следующие учетные и

аналитические действия по отношению к персоналу, который обладает или может

обладать конфиденциальной информацией:

· анализ реального состава известной персоналу конфиденциальной

информации и динамики ее распределения по структурным подразделениям фирмы;

· анализ степени владения конфиденциальной информацией руководством

фирмы, руководителями структурных подразделений, направлений деятельности и

каждым работником, т.е. учет уровня и динамики их реальной осведомленности в

секретах фирмы;

· анализ выявленных потенциальных и реальных источников угрозы

персоналу в целом и каждому отдельному работнику с целью завладеть ценной

информацией фирмы (конкурентов, соперников, криминальных структур и

отдельных преступных элементов);

· анализ эффективности защитных мер, предпринятых по отношению к

персоналу, их действенности в обычных условиях и при активных действиях

злоумышленника.

Своевременный учет состава конфиденциальной информации, известной каждому из

работников фирмы, является наиболее информативной частью аналитической

работы в целом. Учитываются любые контакты любого работника фирмы с

конфиденциальными сведениями, как санкционированные, так и случайные

(ошибочные). Подлежит  также учету выявленное несанкционированное

ознакомление с информацией, к которой работник не имел разрешения на

доступ, в том числе несанкционированное ознакомление с информацией

работника, вообще не имеющего допуска для работы с конфиденциальной

информацией.

Для учета и последующего анализа степени осведомленности работников в

секретах фирмы ведется специальная учетная форма.

Традиционная (карточная) или электронная учетная форма должна содержать ряд

предметных зон, позволяющих сопоставлять функциональные обязанности

сотрудника и состав конфиденциальной информации, полученной сотрудником, и

который должен соответствовать выполняемым видам работы. Целесообразно

включить в учетную форму следующие зоны:

· зона штатных функциональных обязанностей работника, при реализации

которых используется конфиденциальная информация (по утвержденной

должностной инструкции);

· зона изменений и дополнений, внесенных в функциональные обязанности

работника, с указанием документа-основания, его даты и фамилии

руководителя, подписавшего документ;

· зона стандартного состава конфиденциальные сведений или их

индексов, по перечню конфиденциальной информации фирмы, к которым допущен

работник в соответствии с должностной инструкцией (с указанием наименования

документа о допуске, его даты, номера и фамилии руководителя, подписавшего

документ);

· зона изменений и дополнений в составе конфиденциальных сведений, к

которым допускается работник в связи с пересмотром его должностных

обязанностей (с указанием наименований и дат документов о допуске, фамилий

руководителей, подписавших документы);

· зона документированной информации (документов), с которой знакомится

или работает сотрудник, с указанием наименований документов, их дат и

номеров, краткого содержания, целевого использования содержащихся в

документах конфиденциальных сведений или их индексов по перечню, фамилий

руководителей, разрешивших работу с документами;

· зона недокументированной конфиденциальной информации, которая стала

известна работнику, с указанием даты и цели ознакомления, фамилии

руководителя, разрешившего ознакомление, состава конфиденциальных сведений

или их индексов по перечню;

· зона обнаруженного несанкционированного ознакомления работника с

конфиденциальной информацией с указанием даты ознакомления, условий или

причин ознакомления, фамилии виновного работника, места ознакомления,

состава конфиденциальных сведений или их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов

известной сотруднику конфиденциальной информации, т.е. ведется поиск

несоответствия.

По фактам разглашения или утечки конфиденциальной информации, утраты

документов и изделий, другим грубым нарушениям правил защиты информации

организуется служебное расследование.

Служебное расследование проводит специальная комиссия, формируемая приказом

первого руководителя фирмы. Расследование предназначено для выяснения

причин, всех обстоятельств и их последствий, связанных с конкретным фактом,

установления круга виновных лиц, размера причиненного фирме ущерба. По

результатам расследования даются рекомендации по устранению причин

случившегося.

План проведения служебного расследования:

· определение возможных версий случившегося (утрата, хищение,

уничтожение по неосторожности, умышленная передача сведений, неосторожное

разглашение и т.д.);

· определение (планирование) конкретных мероприятий по проверке

версий (осмотр помещений, полистная проверка документации, опрос

сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);

· назначение ответственных лиц за проведение каждого мероприятия;

· указание сроков проведения каждого мероприятия;

· определение порядка документирования;

· обобщение и анализ выполненных действий по всем мероприятиям;

· установление причин утраты информации, виновных лиц, вида и объема

ущерба;

· передача материалов служебного расследования с заключительными

выводами первому руководителю фирмы для принятия решения.

При проведении служебного расследования все мероприятия обязательно

документируются в целях последующего комплексного анализа выявленного факта.

Обычно анализируются следующие виды документов:

· письменные объяснения опрашиваемых лиц, составляемые в произвольной

форме;

· акты проверки документации и помещений, где указываются фамилии

проводивших проверку, их должности, объем и виды проведенного осмотра,

результаты, указываются подписи этих лиц и Дата;

· другие документы, относящиеся к расследованию (справки, заявления,

планы, анонимные письма и т. д.).

Служебное расследование проводится в кратчайшие сроки. По результатам анализа

составляется заключение о результатах проведенного служебного расследования,

в котором подробно описывается проведенная работа, указываются причины и

условия случившегося и полный анализ происшедшего.

[14]

 Глава II

 Ответственность за нарушение правил работы с персональными данными.

Статья 90 ТК РФ предусматривает ответственность за нарушение норм,

регулирующих получение, обработку и защиту персональных данных работника.

Нарушитель может нести дисциплинарную, административную, гражданско-правовую

и уголовную ответственность.

 Уголовная ответственность

Самая строгая, конечно, уголовная. Статья 137 УК РФ предусматривает наказание

за незаконное собирание или распространение сведений о частной жизни лица,

составляющих его личную и семейную тайну. Уголовная ответственность грозит в

том случае, если эти действия совершены намеренно, из корыстной или иной

личной заинтересованности и повлекли за собой нарушение законных прав и

свобод граждан. Причем наказание ужесточается, если виновный использовал свое

служебное положение.

Личную или семейную тайну составляют сведения, не подлежащие, по мнению лица,

которого они касаются, оглашению. Личную и семейную тайну не могут составлять

сведения, которые были ранее опубликованы либо оглашены иным способом.

Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

а) незаконном собирании сведений о частной жизни;

б) незаконном их распространении;

в) незаконном их распространении в публичном выступлении, публично

демонстрирующемся произведении или средствах массовой информации.

Закон не связывает ответственность за незаконное распространение сведений о

частной жизни лица с конкретным способом распространения. Под

распространением имеется в виду любая незаконная передача указанных сведений

третьим лицам. Незаконным распространением является разглашение личной или

семейной тайны лицом, обязанным ее хранить в силу своей профессии. В

некоторых случаях разглашение сведений о частной жизни по УК образует

одновременно состав другого преступления например, разглашение тайны

усыновления (ст. 155), В таких случаях содеянное квалифицируется по

совокупности со ст. 137 УК.

Обязательным элементом объективной стороны преступления, предусмотренного ст.

137 УК, является причинение  вреда правам и законным интересам  граждан.

Характер вреда закон не ограничивает. Он может быть:

а) материальным (имущественным), например потеря хорошо оплачиваемой работы,

срыв выгодной сделки, иные убытки в предпринимательской деятельности;

б) физическим (телесным), например заболевание от пережитого;

в) моральным, например распад семьи, подрыв репутации.

Установление наличия вреда правам и законным интересам потерпевшего

производится в каждом конкретном случае с учетом индивидуальных особенностей

личности и ситуации.

Нарушение неприкосновенности частной жизни считается оконченным преступлением

только с момента причинения соответствующего вреда (материальный состав).

Субъективная сторона данного преступления характеризуется прямым умыслом.

Обязательным элементом субъективной стороны является мотив: корыстная или

иная личная заинтересованность. Корыстная заинтересованность выражается в

стремлении приобрести материальную (имущественную) выгоду за счет

потерпевшего или в виде вознаграждения от третьей стороны. Иная личная

заинтересованность может заключаться в стремлении дискредитировать