Ответственность за нарушение правил работы с персональными данными

Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

1.6 Защита информации при работе с ЭВМ

Утечка конфиденциальной информации от персональных ЭВМ может происходить по следующим каналам:

• организационному каналу через персонал, злоумышленника, его сообщника, силовым криминальным путем,
• побочных электромагнитных излучений от ЭВМ и линий связи,
• наводок злоумышленником опасного сигнала на линии связи, цепи заземления и электропитания,
• акустических сигналов,
• через вмонтированные радиозакладки, съема информации с плохо стертых дискет, ленты принтера.

Основным источником высокочастотного электромагнитного излучения является дисплей. Картинку дисплея можно уловить и воспроизвести на экране другого дисплея на расстоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через соединительные провода. Однако основным виновником утраты электронной информации всегда является человек.

Защита данных должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ЭВМ (надежность, быстродействие).

Организация системы защиты информации включает:

• защиту границ охраняемой территории,
• защиту линий связи между ЭВМ в одном помещении,
• защиту линий связи в различных помещениях, защиту линий связи, выходящих за пределы охраняемой зоны (территории).

Защита информации включает ряд определенных групп мер:

• меры организационно-правового характера: режим и охрана помещений, эффективное делопроизводство по электронным документам – внемашинная защита информации, подбор персонала,
• меры инженерно-технического характера: место расположения ЭВМ, экранирование помещений, линий связи, создание помех и др.,
• меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе, кодирование информации, вводимой в ЭВМ,
• меры аппаратной защиты: отключение ЭВМ при ошибочных действиях пользователя или попытке несанкционированного доступа.

Помещения, в которых происходит обработка информации на ЭВМ, должны иметь аппаратуру противодействия техническим средствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты.

Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов:

• управления доступом;
• регистрации и учета;
• криптографической;
• обеспечения целостности.

Правильная организация доступа - управление доступом к конфиденциальной информации является важнейшей составной частью системы защиты электронной информации. Реализация системы доступа как к традиционным, так и электронным документам основывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей (сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые обращались к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне фирмы.

Организуя доступ сотрудников фирмы к конфиденциальным массивам электронных документов и базам данных, необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части доступа этого вида:

• доступ к персональному компьютеру, серверу или рабочей станции;
• доступ к машинным носителя информации, хранящимся вне ЭВМ;
• непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

• определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;
• регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);
• организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;
• организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;
• организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;
• организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.

Перед началом обработки информации на ЭВМ сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея должен быть немедленно погашен.

В конце рабочего дня исполнители обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу КД. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов.

Лицам, имеющим доступ к работе на ЭВМ, запрещается:

• разглашать сведения о характере автоматизированной обработки конфиденциальной информации и содержании используемой для этого документации,
• знакомиться с изображениями дисплея рядом работающих сотрудников или пользоваться их магнитными носителями без разрешения руководителя подразделения,
• разглашать сведения о личных паролях, используемых при идентификации и защите массивов информации,
• оставлять магнитные носители конфиденциальной информации без контроля, принимать или передавать их без росписи в учетной форме, оставлять ЭВМ с загруженной памятью бесконтрольно,
• пользоваться неучтенными магнитными носителями, создавать неучтенные копии документов.

После изготовления бумажного варианта документа его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями.

Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или уничтожения содержащейся в них информации, а также в соответствии с техническими условиями завода-изготовителя. Носители хранятся в вертикальном положении в специальных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответствовать учетным номерам носителей. Недопустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений.

Магнитные носители, содержащие конфиденциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных формах.

С целью контроля и поддержания режима при обработке информации на ЭВМ необходимо:

• периодически проводить проверки наличия электронных документов и состава баз данных,
• проверять порядок ведения учета, хранения и обращения с магнитными носителями и электронными документами,
• систематически проводить воспитательную работу с персоналом, осуществляющим обработку конфиденциальной информации на ЭВМ,
• реально поддерживать персональную ответственность руководителей и сотрудников за соблюдение требований работы с конфиденциальной информацией на ЭВМ,
• осуществлять действия по максимальному ограничению круга сотрудников, допускаемых к обрабатываемой на ЭВМ конфиденциальной информации и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации.

1.7 Контроль защиты информации

Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основными формами контроля могут быть:

• аттестация работников;
• отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;
• регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;
• самоконтроль.

Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности фирмы.

В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д.

По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить определение об отстранении сотрудника от работы с информацией и документами, составляющими секреты фирмы.

Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы.

Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направлений, заместителями первого руководителя и работниками службы безопасности.