Защита информации в работе кадровой службы

Работа службы персонала, управления или отдела кадров, менеджера по персоналу, иногда, в некрупных фирмах, — секре­таря-референта (далее — отдела кадров) связана с накоплением, формированием, обработкой, хранением и использованием значи­тельных объемов сведений о всех категориях сотрудников.

Эти све­дения относятся к так называемым персональным данным, кото­рые по своей сути отражают личную или семейную тайну граж­дан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа. Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распрос­транение персональных данных во времени и пространстве, мо­жет нанести значительный ущерб физическому лицу. Понятие лич­ной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи не тожде­ственна личной тайне по составу защищаемых сведений.

Например к семейной тайне относятся: тайна усыновления, тайна отцов­ства, тайна наследственного заболевания и др. Под персональными данными (информацией о гражданах) по­нимается любая документированная информация, относящаяся к конкретному человеку. Персональные данные идентифицируют его личность. Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без граж­данства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные.

Держатели пер­сональных данных — органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользо­вание этими данными. Пользователями персональных данных мо­гут быть органы государственной власти и местного самоуправле­ния, предприятия, учреждения, организации, юридические и фи­зические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи. Персональные данные всегда относятся к категории конфиденци­альной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семей­ную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согла­сия, кроме как на основании судебного решения. Режим конфи­денциальности персональных данных снимается в случаях обезли­чивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Работа с персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выпол­нения задач соответствующего держателя или пользователя персо­нальных данных, и устанавливается действующим законодатель­ством, лицензией или договором. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и сво­бод граждан Российской Федерации.

Ограничение прав граждан на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партий­ной принадлежности запрещено и карается в соответствии с зако­нодательством. Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствую­щими документами, субъект персональных данных вправе требо­вать от держателя этих данных внесения в них изменений и до­полнений.

С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных. Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны — служебной или профессиональной тайне. Профессиональ­ная тайна включает в себя врачебную, адвокатскую, банковскую, нотариальную тайну, тайну органов ЗАГС, предприятий связи, тайну исповеди и др.

Персональные данные накапливаются и используются, напри мер: в налоговых инспекциях, правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в неко­торых подразделениях муниципальных органов самоуправления и т.д. Но наиболее концентрированное и обширное отражение персональ­ные данные находят в разнообразной по составу и значительной по объемам кадровой документации (документации по личному составу), образующей соответствующую информационно-документационную систему, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаи­моотношений граждан с государственными и негосударственными учреждениями, организациями, предприятиями и фирмами.

Эта система имеет не только текущее, оперативное назначение в осуще­ствлении кадровых функций, но и является одновременно ценным социологическим, биографическим и археографическим источни­ком для исследования и обобщения сложных социальных процессов, протекающих в современной России.

В целях выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделим две большие группы документации:

а) доку­ментация по организации работы отдела и

б) документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде. Первая группа документации содержит организационно-правовую документацию отдела кадров и включает, положение об отделе, дол­жностные инструкции работников отдела, приказы, распоряже­ния, указания руководства фирмы, регламентирующие структуру отдела и распределение сфер ответственности между его работни­ками, рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.).

Сюда от­носятся также деда с документацией по планированию, учету анализу и отчетности в части основной деятельности отдела.

Учи­тывая значительное своеобразие в формировании статуса отдела и организации основных процессов, сопровождающих его деятель­ность в различных фирмах, конфиденциальный характер этой группы документации определяется тем, что злоумышленник может из­влечь из анализа этой документации в конкретной фирме следую­щие полезные для себя сведения:

• распределение функций между отделом кадров и планово-финансовым отделом, бухгалтерией, юридическим отделом, военно-учетным столом и другими подразделениями, т.е., све­дения от том, где искать требуемую информацию;

• распределение функций внутри отдела кадров между струк­турными единицами отдела (группами, секторами) и между работниками, т.е. сведения о том, у кого искать требуемую информацию;

• регламентацию рабочего процесса по оформлению докумен­тации, пропусков, удостоверений, т.е. сведения о том, как можно воспользоваться этим в несанкционированном режиме для фальсификации документов, баз данных;

• регламентацию места хранения документов, дел, баз данных, т.е. сведения о том, где и как можно украсть или подменить тот или иной документ, получить требуемую информацию;

• регламентацию отчетной и справочной работы, т.е. сведения о том, когда и как можно перехватить требуемую информацию по организационным или техническим каналам. Любые посторонние лица не должны знать распределение фун­кций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров.

Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников этого отдела.

Вторая группа — документация, образующаяся в процессе ос­новной деятельности отдела кадров и содержащая персональные данные, включает:

• комплексы документов, сопровождающие процесс оформ­ления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);

• комплексы материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;

• подлинники и копии приказов по личному составу; • личные дела и трудовые книжки сотрудников;

• дела, содержащие основания к приказам по личному составу;

• дела, содержащие материалы аттестации сотрудников, слу­жебных расследований и т.п.;

• справочно-информационный банк данных по персоналу — учетно-справочный аппарат (картотеки, журналы, базы данных и др.);

• подлинники и копии отчетных, аналитических и справоч­ных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;

• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

Главным моментом в защите персональных и иных конфиден­циальных данных является четкая регламентация функций работ­ников отдела кадров и в соответствии с этим — регламентация принадлежности работникам документов, дел, карточек, журна­лов персонального учета и баз данных. Для реализации этого положения руководитель фирмы должен издать приказ или распоряжение о закреплении за работниками отдела определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должност­ных инструкциях этих работников, утвердить схему доступа ра­ботников отдела кадров и руководящего состава фирмы, струк­турных подразделений к документам отдела, ввести личную ответ­ственность перечисленных должностных лиц и работников за со­хранность и конфиденциальность персональных данных.

По каждой функции, выполняемой работником отдела кадров, Должен быть регламентирован состав документов, дел и баз данных, к которыми этот работник имеет право работать. Не допускается. чтобы работник мог знакомиться с любыми документами и материа­лами отдела.

Целесообразно, в целях разграничения доступа и разби­ения знания персональных данных между работниками, закрепить за разными работниками:

а) документирование оформления трудо­вых правоотношений (приема, перевода, увольнения и др.),

б) ве­дение личных дел и трудовых книжек,

в) составление и хранение приказов по личному составу и контрактов,

г) ведение справочно-информационного банка данных.

Распределение сфер деятельности может варьироваться в зависимости от объема работы и штатной численности работников отдела, но разграничение обязанностей и массивов документации должно быть обязательно.

Это позво­лит построить работу отдела в соответствии с указанными выше основополагающими принципами и обеспечить сохранность и кон­фиденциальность персональных данных.

В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение начальника отдела кадров, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных. Важно, что в этом распоряжении фиксируется изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциаль­ность документации. Работа с отдельными группами документации по кадрам имеет специфические особенности.

Операции по оформлению, формированию, ведению и хране­нию личных дел выполняются одним работником отдела кадров, который несет личную ответственность за сохранность документов в делах и доступ к делам других работников.

Документы для фор­мирования и ведения личных дел сдаются ему под роспись в пере­даточном журнале работником, отвечающим за процесс докумен­тирования трудовых правоотношений граждан с фирмой. Материалы, связанные с анкетированием, тестированием, проведением собе­седований с кандидатами на должность, помещаются не в личное дело принятого сотрудника, а в специальное дело, имеющее гриф «Строго конфиденциально». Необходимость этого объясняется тем, что подобные материалы раскрывают личностные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику в процессе поис­ка им канала несанкционированного доступа к ценной информа­ции предприятия, для шантажа сотрудника и склонения его к сотрудничеству.

Материалы с результатами тестирования работаю­щих сотрудников, материалы их аттестаций формируются в другое дело, также имеющее гриф строгой конфиденциальности. На личных делах гриф ограничения доступа не ставится, так как весь комплекс личных дел является конфиденциальным. Лич­ное дело должно обязательно иметь опись документов, включен­ных в дело. Листы дела нумеруются в процессе формирования дела. При помещении в личное дело нового документа данные о нем первоначально вносятся в опись дела, затем листы документа ну­меруются и только после этого документ подшивается.

На оборот­ной стороне обложки личного дела может указываться список ру­ководителей, которым дело может быть выдано для ознакомления. Здесь же подклеивается конверт для карточки учета (контрольной карточки) выдачи дела. Изменения и дополнения в персональные данные вносятся в дополнение к личному листку по учету кадров и (или) личную Учетную карточку формы Т-2 на основании приказов по личному составу и документов, предоставляемых сотрудниками (свидетельства о браке, диплома и т.д.).

Устное заявление сотрудника не является основанием для внесения указанных изменений (кроме вто­ростепенных сведений — изменения номера домашнего телефона, места работы близких родственников и т.п.). Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью работника отдела кадров. При переносе све­дений из приказа по личному составу работник расписывается про­тив перенесенного пункта. В случае изъятия из личного дела документа в описи дела про­изводится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью работ­ника отдела кадров. Замена документов в личном деле любым ли­цом запрещается. Новые, исправленные документы помещаются вместе с ранее подшитыми. Приказом первого руководителя фирмы должен быть установлен порядок выдачи или ознакомления руководящего состава с личными делами сотрудников.

Личные дела могут выдаваться на рабочие места только первого руководителя, его заместителя по кадрам или персоналу и начальника отдела (управления) кадров Дела выдаются под роспись в контрольной карточке. При возврате дела тщательно проверяется сохранность документов, отсутствие повреждений, включения в дело других документов или подмены документов. Просмотр дела производится в присутствии руково­дителя. Передача личных дел руководителям через их секретарей или референтов не допускается. Другие руководители фирмы могут знакомиться с личными делами подчиненных им сотрудников. Ознакомление с делами осуществляется в помещении отдела кад­ров под наблюдением работника, ответственного за сохранность и ведение личных дел.

Факт ознакомления фиксируется в конт­рольной карточке личного дела. Сотрудник фирмы имеет правое знакомиться только со своими личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные. Факт ознакомления с личным делом также фиксируется в контрольной карточке. В сферу ответственности работника, осуществляющего веде­ние личных дел, входит работа с трудовыми книжками сотрудников фирмы. Трудовые книжки всегда хранятся отдельно от личных дел. Особое внимание обращается на учет в бухгалтерии и отделе кадров чистых бланков книжек и бланков листов-вкла­дышей.

Начальник отдела должен строго контролировать, чтобы подчиненные ему работники не оформляли трудовые книжки на неучтенных бланках (купленных и, как правило, поддельных), Под особым контролем должны находиться операции по про­ставлению в трудовых книжках печатей и штампов. Целесообразно, чтобы эти операции производил только начальник отдела кадров, так как в противном случае может возникнуть опасность несанк­ционированного использования печатей и штампов.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу фирмы (картотеками, журналами и книгами персонального учета сотрудников). Этот банк содержит основную, концентрированную массу ценных сведений о сотрудниках. Множество применяемых традиционных учетных форм осложняет обеспечение их конфиденциальности.

Однако пе­реход на автоматизированный тип этого банка создает другие слож­ности, связанные с необходимостью ведения комплексов страхо­вых и резервных машиночитаемых и бумажных копий, включен­ных в банк учетных форм, Конфиденциальными при любом типе банка являются накопительные ведомости, записи в промежуточ­ных рабочих формах, которые ведутся работником отдела кадров для последующего одноразового внесения в учетные формы.

Дос­туп работников отдела к справочно-информационному банку дан­ных должен быть ограничен и определяться их служебными обязан­ностями. Разовое ознакомление с учетной карточкой какого-либо сотрудника разрешает начальник отдела кадров. Отчетная и справочная работа отдела формирует каналы объек­тивного санкционированного распространения персональных данных и может служить основой формирования канала несанкцио­нированного получения и незаконного использования пенных све­дений. В этой связи требуется повышенное внимание к обеспече­нию сохранности и конфиденциальности отчетных и справочных массивов информации.

Первым руководителем фирмы должен быть регламентирован порядок получения нижестоящими руководите­лями необходимых им для работы справочных данных. Устанавли­вается: кто, когда, какие сведения и с какой целью может запра­шивать в отделе кадров. И, что особенно важно, определяется по­рядок дальнейшего хранения сведений, работа с которыми закон­чена: где эти сведения будут находиться, кто несет ответствен­ность за их сохранность и конфиденциальность. Передаваемые из отдела кадров руководителям отчетные и спра­вочные сведения обязательно документируются в виде сводок, спис­ков, справок и т.п. Устное сообщение сведений, как правило, ис­пользоваться не должно, за исключением случаев, когда запраши­вается единичная информация, например: дата рождения сотруд­ника, название вуза и т.п. На документах, выходящих за пределы отдела кадров, может ставиться гриф «Конфиденциально» или для служебного пользования». В отделе кадров обязательно остаются копии всех отчетных и справочных документов.

Целесообразно, что­бы после использования подлинники этих документов возвращались в отдел кадров для включения в дело вместо хранящейся там копии. В структурных подразделениях предприятия могут быть следу­ющие документы, содержащие персональные данные: журнал та­бельного учета с указанием должностей, фамилий и инициалов сотрудников (находится у работника, ведущего табельный учет — табельщика), штатное расписание (штатный формуляр) подраз­деления, в котором могут дополнительно указываться, кто из сотрудников занимает ту или иную должность, каковы вакант­ные должности (находится у руководителя подразделения), дело с выписками из приказов по личному составу, касающихся пер­сонала подразделения (находится у табельщика). Руководитель под­разделения может иметь список сотрудников с указанием основ­ных биографических данных каждого из них (год рождения, об­разование, местожительство, номер домашнего телефона и др.). Все перечисленные документы следует хранить в соответствую­щих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа.

Не реже одного раза в год работники отдела кадров проверяют наличие этих дел в подразделениях и правиль­ность их ведения. В отделе кадров дела, картотеки, учетные журналы и книги учета хранятся в рабочее и нерабочее время в металлических запирающихся шкафах. Работникам не разрешается при любом по продолжительности выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапер­тыми. У каждого работника должен быть свой шкаф для хранения закрепленных за ним дел и картотек. Трудовые книжки всегда хранятся в сейфе.

На рабочем столе работника должен всегда находиться только тот массив документов и учетных карточек, с которым он в насто­ящий момент работает. Исполняемые документы следует помещать в папки, на которых указывается вид производимых с ними дей­ствий (для подшивки в личные дела, для отправки и т.п.) или фамилии граждан, к работе с которыми относятся данные доку­менты. Каждая папка должна иметь опись находящихся в ней до­кументов. Документы, с которыми закончена работа, немедленно подшиваются в соответствующее дело. Карточки в процессе работы с ними хранятся в промежуточной рабочей картотеке, а после окончания работы помешаются в основные картотеки. В конце рабочего дня все документы, дела, листы бумаги и блокноты с рабочими записями, инструктивные и справочные материалы должны быть убраны в металлические шкафы, сейфы, которые запираются и опечатываются печатью данного работника. Ключи от шкафов сдаются начальнику отдела кадров под роспись в соответствующем журнале. На рабочем столе не должно оставаться ни одного документа.

Следует также проверить урну для бумаг и убедиться в отсутствии там листов бумаги, которые могут представ­лять интерес для постороннего лица. Печати, штампы, бланки до­кументов, ключи от рабочих шкафов хранятся только в сейфе на­чальника отела кадров. Черновики и редакции документов, испор­ченные бланки, листы со служебными записями в конце рабочего дня уничтожаются в специальной бумагорезальной машине двумя работниками отдела. Помимо операций с документами работники отдела кадров зна­чительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, так как посе­тители могут представлять определенную угрозу информационным ресурсам отдела кадров и безопасности работников отдела.

Важно, чтобы прием посетителей осуществлялся только в те часы, которые ежедневно выделяются для этой цели. В другое время в помещении отдела кадров не могут находиться посторонние лица, в том числе сотрудники фирмы. В часы приема посетителей работники отдела не должны выпол­нять функции, не связанные с приемом, вести служебные и лич­ные переговоры по телефону. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касают­ся данного посетителя. В помещении отдела кадров в часы приема посторонних лиц может находиться работник службы безопаснос­ти фирмы. Целесообразно также наличие сигнализации, оповеща­ющей сотрудников этой службы о необходимости немедленно вме­шаться в сложившуюся ситуацию. На столе работника отдела не должно быть тяжелых предметов. Прием посетителей чаще всего связан с ведением справочной работы: ответов на вопросы посетителей и выдачей им справок.

Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается передача персональной информации по телефону. Ответы на письменные запросы других учреждений, фирм и организаций даются в письменной форме, на бланке фирмы или отдела кадров и в том объеме, который позволяет не разглашать излишний объем персональных сведений. При выдаче справки с места работы необходимо удостовериться в личности сотрудника, которому эта справка выдается. Не разре­шается выдавать ее родственникам или сослуживцам лица, кото­рому требуется справка. Справка выдается на основании учетной карточки Т-2, а не пропуска, так как сотрудник при увольнении мог не сдать пропуск или удостоверение. Справку подписывает начальник отдела кадров. На подпись справку передает работник отдела, а не посетитель. Одновременно начальник отдела ставит на справке печать. За получение справки сотрудник предприятия рас­писывается в журнале учета выдачи справок. Чистые бланки справок подлежат обязательному учету.

Они хранятся у начальника отдела кадров и выдаются в дневной норме работнику, выдающему справки. По окончании приемных часов этот работник отчитывается перед начальником отдела об израсходован­ных бланках справок и сдает ему оставшиеся чистыми и испорчен­ные бланки. Заранее ставить на чистых бланках справок подпись начальника отдела и печать не допускается. В целях удобного доступа посетителей в отдел кадров помеще­ния отдела должны располагаться на первом этаже здания, побли­зости от входа. В часы приема лиц, не являющихся сотрудниками предприятия, вход в отдел должен быть свободным для всех жела­ющих. Проход посторонних лиц в помещение отдела контролиру­ется сотрудником службы безопасности: посетитель идентифицируется по паспорту или служебному удостоверению, при необхо­димости посетителя провожают.

Не допускается бесконтрольное нахождение посторонних лиц в здании фирмы. Отдел кадров должен иметь три смежных помещения; комнату для работников отдела, кабинет начальника отдела и помещение в котором размешаются шкафы и сейфы для документов, дел и картотек. Вход в отел кадров может быть только один. Для ожидающих приема посетителей целесообразно выделить дополнительное помещение за пределами основных помещений отдела. Помещение для размещения шкафов может не иметь окоп и оборудуется эффективными техническими средствами пожаротушения. Все помещения оборудуются охранной сигнализацией. Сдачу на охрану и снятие с охраны помещений отдела кадров осуществляет начальник отдела или его заместитель.

Уборка поме­щении допускается только в присутствии этих лиц. Мусор, выно­симый из помещений, должен сжигаться. Подбор персонала для работы в отделе кадров ведется с учетом требований, которые разработаны для должностей, связанных с вла­дением и обработкой конфиденциальных сведений и документов.

Следовательно, работа отдела кадров любой фирмы связана с обработкой значительных объемов персональных сведений (дан­ных), отражающих профессиональные, деловые и личные каче­ства сотрудников и являющихся конфиденциальными. Конфи­денциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соот­ветствии с законом.

Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности пер­сональных сведений/их защиты от множества видов угроз, ко­торые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.

58. Нормативно-методические документы по обеспечению безопасности информации

Нормативно-методическое обеспечение системы защиты конфиденциальной информации предназначено для регламента­ции процессов обеспечения безопасности информации фирмы, в том числе при работе персонала с конфиденциальными сведениями, до­кументами, делами и базами данных.

Оно включает в себя ряд обяза­тельных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы пре­дотвращения пассивных и активных угроз ценной информации, ко­торые могут возникнуть по вине персонала, конкурентов, злоумыш­ленников и других лиц. Нормативно-методическое обеспечение базируется на тех обя­зательных положениях, которые должны содержаться в учреди­тельных и иных основополагающих документах фирмы и опреде­лять правовой статус информационной безопасности фирмы. Ука­занные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информа­цию, составляющую собственность и тайну фирмы, и выполнять действия по ее защите.

Предмет и направления защиты должны найти отражение, например, в уставе фирмы, типовых формах контрактов различного рода и назначения, положениях о струк­турных подразделениях фирмы, должностных инструкциях сотруд­ников и других документах. Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих за­щиту ценной документированной информации фирмы, являются: положение о службе безопасности, положение о службе конфи­денциальной документации, должностные инструкции сотрудни­ков этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и дру­гие документы. Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную фирмой систему защиты документированной информации.

Можно выделить основные, на наш взгляд, регла­ментирующие документы, имеющие значение для любой фирмы и необходимые при использовании любой системы защиты ин­формации или отдельных элементов такой системы:

1. Перечень сведений предпринимательской фирмы, составляю­щих ее тайну или являющихся особо ценными. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных, сведений по структурным подразделениям или управленческим функциям фирмы, список видов конфиденциаль­ных документов и баз данных с указанием места их хранения, сро­ка конфиденциальности и т.п.

2. Инструкция по обеспечению безопасности конфиденциаль­ной информации фирмы, которая регламентирует:

• обязанности сотрудников фирмы при работе с конфиден­циальной информацией;

• порядок доступа сотрудников к конфиденциальным доку­ментам и базам данных, оформление доступа;

• обеспечение сохранности документов на бумажных и маг­нитных носителях при работе с ними руководителей, испол­нителей (специалистов) и технического персонала;

• порядок сохранения тайны фирмы при проведении совеща­ний, заседаний и переговоров;

• требования к помещениям для работы с конфиденциальной информацией;

• порядок охраны территории, здания, помещений, транспор­тных средств и персонала фирмы;

• пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентифика­торов;

• порядок приема, учета и контроля деятельности посетителей;

• требования к защите информации в рекламной и выставоч­ной работе, публикациях, при интервьюировании и собеседованиях;

• организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств организационной техники; • ответственность сотрудников фирмы за разглашение кон­фиденциальной информации и утрату ценных документов.

3. Инструкция по обработке, хранению и движению конфиден­циальных документов фирмы. Она регламентирует организацию работы сотрудников службы КД, менеджера (референта) по безо­пасности, управляющего делами фирмы, секретаря-референта пер­вого руководителя.

Основные разделы Инструкции:

• структура защищенного документооборота фирмы;

• установление, изменение и снятие грифа конфиденциаль­ности документов;

• порядок составления, учета, изготовления и издания кон­фиденциальных документов;

• копирование и размножение документов;

• прием и распределение поступивших документов;

• учет (регистрация) поступивших документов;

• отправка и рассылка документов;

• порядок передачи документов в процессе их рассмотрения и исполнения;

• контроль исполнения документов;

• порядок систематизации документов и формирования дел;

• порядок передачи документов и дел в архив фирмы, унич­тожения документов и дел с истекшим сроком хранения;

• оперативное (текущее) и архивное хранение дел;

• проверка наличия документов, дел, баз данных и носителей конфиденциальной информации;

• правила хранения и использования бланков документов, печатей и штампов. В приложении к инструкции даются учетные и иные техноло­гические формы, необходимые для организации обработки, хра­нения и движения документов.

Информационные (методические, советующие, обучающие) доку­менты (правила, требования, указания, методики, памятки и т.п.), детализирующие процессы защиты информации, носят, вместе с тем, обязательный характер и устанавливают порядок работы с кон­фиденциальной информацией и документами отдельных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику.

Прежде всего следует выделить Правила работы руководителей и исполнителей (специалистов) предпринимательской фирмы с конфиденциальными документами и базами данных.

Правила рег­ламентируют:

• порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала к конфиденциальной информации;

• рассмотрение документов руководителем и адресования их исполнителям;

• порядок передачи и получения документов исполнителями; • ознакомление исполнителей с содержанием документов и ре­шением по ним руководителя;

• составление и изготовление документов исполнителями; • работу руководителя с подготовленными документами;

• порядок хранения документов, дел, носителей информации, чистых бланков документов и штампов на рабочем месте руководителя и исполнителя;

• проверку наличия конфиденциальных документов и баз дан­ных на рабочем месте руководителя и исполнителя;

• порядок ведения телефонных переговоров, факсимильной переписки;

• особенности работы с ПЭВМ при обработке конфиденциаль­ной информации, правила работы с копировальной техникой;

• порядок работы с конфиденциальными документами за пре­делами фирмы, в командировках, транспорте, порядок хранения документов;

• обеспечение сохранности документов и баз данных во внерабочее время.

Правила работы менеджера по безопасности (управляющего делами, референта, секретаря-референта) фирмы с конфиденциальными документами и базами данных регламентируют:

• порядок приема и отправки конфиденциальных документов;

• порядок учета (регистрации) поступивших документов;

• организацию доступа исполнителей к конфиденциальным документам;

• распределение документов по руководителям и исполните­лям, ознакомление с документами исполнителей и передача документов на исполнение;

• формирование и ведение справочно-информационного банка данных по конфиденциальным документам;

• контроль исполнения документов;

• учет и изготовление документов на пишущих устройствах;

• оформление и ведение номенклатуры дел фирмы;

• формирование и хранение (текущее и архивное) дел фирмы;

• порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;

• защиту информации при ведении телефонных переговоров и передаче информации по факсимильной связи;

• защиту информации при работе с ПЭВМ;

• построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;

• ответственность за нарушение правил работы с конфиден­циальной документацией и базами данных.

Правила работы менеджера по персоналу предприниматель­ской фирмы регламентируют:

• обязанности менеджера в области защиты информации и ра­боты с сотрудниками, обладающими секретами фирмы;

• организацию и документирование приема сотрудников на работу;

• обязательства сотрудников по сохранению тайны фирмы;

• контроль соблюдения персоналом правил работы с конфи­денциальными документами и информацией;

• организацию и документирование переводов сотрудников на другие должности и изменения условий контрактов;

• порядок формирования и ведения личных дел сотрудников;

• порядок оформления и ведения трудовых книжек сотруд­ников;

• порядок ведения справочно-информационного банка данных по персоналу фирмы;

• правила и методы защиты персональных данных;

• организацию и документирование увольнений сотрудников;

• порядок оформления доступа сотрудников к конфиденциаль­ным сведениям, документам и базам данных;

• принципы и направления формирования нормального пси­хологического климата в коллективе, воспитания фирмен­ной гордости персонала;

• психологический анализ сотрудников, тестирование, анке­тирование, инструктирование и обучение персонала;

• правила хранения документов и работы с ними;

• организацию охраны помещения службы персонала в рабочее и нерабочее время;

• ответственность менеджера по персоналу за разглашение пер­сональных данных о сотрудниках фирмы и другой конфи­денциальной информации.

Информационные документы регламентируют также требова­ния по единообразному выполнению персоналом определенных видов типовых действий.

Так, правила обеспечения безопасности секретов фирмы и конфиденциальной информации в экстремаль­ных ситуациях включают в себя классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по за­щите секретов фирмы, информации и документов и регламен­тируют:

• порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;

• порядок (при необходимости — план) эвакуации и оказа­ния помощи персоналу;

• порядок охраны имущества фирмы, оборудования и техни­ческих средств зашиты информации;

• порядок охраны персонала при индивидуальных экстремаль­ных ситуациях (угрозах, шантаже, нападении и т.п.);

• порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций. Рассмотренные нормативно-методические документы отражают действующую в фирме систему защиты информации и потому являются строго конфиденциальными. После их утверждения пер­вым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись.

Одновременно могут быть внесены необходимые изменения и дополнения в дол­жностные инструкции сотрудников. При внесении обязательных периодических изменений в систему обеспечения безопасности фирмы соответствующим образом своевременно корректируется нормативно-методическая документация.

Контроль за соблюдением сотрудниками фирмы изложенных в документах требований воз­лагается на службы: безопасности, конфиденциальной документа­ции, персонала, а в некрупных фирмах — на менеджера по безо­пасности.

Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комп­лексе нормативно-методических документов, которые детализи­руют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание работниками своих обязаннос­тей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты и опреде­ленной гарантией сохранности собственной информации фирмы.

Дата добавления: 2014-01-07; Просмотров: 3937; Нарушение авторских прав?; Мы поможем в написании вашей работы!