Информационная безопасность и её роль на предприятии

Ежедневное число посетителей должно соответствовать реальному времени, отведенному руководителем на этот вид работы.

Следует планировать прием таким образом, чтобы посетители длительное время не находились в приемной, так как подобные ожидания всегда сопровождаются подсознательным или умышленным прослушиванием переговоров в приемной, получением значительного объема ценной информации.

Для организации работы директора с посетителями целесообразно формирование графика приема.

График целесообразно формировать централизованно в виде единой схемы, охватывающей посетителей руководства предприятия и структурных подразделений. На основании графика секретарь директора ежедневно в начале рабочего дня сообщает сведения о посетителях и характере разрешенного их доступа к делам предприятия в службу безопасности для оформления пропусков.

Установление соответствия личности посетителя сведениям в графике приема и документе, удостоверяющем его личность, выполняется:

- сотрудником службы  безопасности при входе в здание  предприятия и выдаче посетителю  пропуска;

- секретарем при входе  посетителя в приемную руководителя  предприятия.

В период ожидания посетителем приема секретарю следует внимательно наблюдать за его поведением, фиксировать возможные странности в движениях, излишнюю возбужденность и т.п. При возникновении каких-либо опасений референт должен вызвать сотрудника службы безопасности, который будет присутствовать в кабинете при беседе руководителя с посетителем.

По окончании приема руководителем секретарь организует дальнейшие действия посетителя. Возможны два варианта:

- посетитель в сопровождении  сотрудника службы безопасности  направляется к выходу из здания;

- секретарь вызывает в приемную специалиста предприятия, к которому посетитель направлен для решения важных для него задач.

В подразделениях предприятия соблюдается в целом тот же порядок приема и работы с посетителями. Посетитель может быть допущен только к тем документам, работа с которыми ему разрешена директором предприятия. Все его перемещения по территории предприятия осуществляются в сопровождении сотрудника. Посетители, нарушившие правила работы с информационными ресурсами предприятия, замеченные в попытке несанкционированного получения ценных сведений у персонала, лишаются права дальнейшего пребывания на предприятии. При выходе с предприятия посетитель сдает пропуск.

Таким образом, разработка и использование эффективной системы обеспечения информационной безопасности в процессе приема и работы с посетителями является одной из важных частей системы защиты информации и охраны материальных ценностей предприятия. 

 

2. Организация защиты информации  в кадровой службе. 

 

Работа отдела кадров предприятия связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений обо всех категориях сотрудников.

Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи не тождественна личной тайне по составу защищаемых сведений.

Под персональными данными понимается любая документированная информация, относящаяся к конкретному человеку, так называемая личная тайна. Личная тайна гражданина охраняется Конституцией Российской Федерации.

Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные.

Держатели персональных данных – органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными.

Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.

Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.

Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны – служебной или профессиональной тайне. Наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями.

C целью выявления состава  конфиденциальных сведений и  определения основных направлений  защиты персональных данных в  отделе кадров выделяют две большие группы документации:

- документация по организации  работы отдела;

- документация, образующаяся  в процессе основной деятельности  отдела и содержащая персональные  данные в единичном или сводном  виде.

Первая группа документации содержит организационно-правовую документацию отдела кадров и включает:

- положение об отделе;

- должностные инструкции  работников отдела;

- указания руководства  предприятия;

- документы, регламентирующие  структуру отдела;

- рабочие инструкции  по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.) в процессе основной деятельности отдела кадров, и содержащие персональные данные работников.

Вторая группа – документация включающая:

- комплексы документов  для оформления гражданина на  работу, при переводе, увольнении; 

- комплексы материалов  по анкетированию, тестированию, проведению  собеседований с кандидатами  на должность;

- подлинники и копии  приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- дела, содержащие основания  к приказам по личному составу;

- дела, содержащие материалы  аттестации сотрудников, служебных  расследований и т.п.;

- справочно-информационный  банк данных по персоналу.

Основным условием при защите персональных и конфиденциальных данных является четкая регламентация функций работников отдела кадров. По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела.

При оформлении на личных делах гриф ограничения доступа не ставится, так как весь комплекс личных дел является конфиденциальным. Личное дело должно обязательно иметь опись документов, включенных в дело. Листы дела нумеруются в процессе формирования дела. При помещении в личное дело нового документа данные о нем первоначально вносятся в опись дела, затем листы документа нумеруются и только после этого документ подшивается.

Изменения и дополнения в персональные данные вносятся отдельным документом в дополнение к личному листку по учету кадров, на основании приказов по личному составу и документов, предоставляемых сотрудниками. Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью работника отдела кадров.

В сферу ответственности работника, осуществляющего ведение личных дел, входит работа с трудовыми книжками сотрудников предприятия. Трудовые книжки всегда хранятся отдельно от личных дел. Начальник отдела должен строго контролировать, чтобы подчиненные ему работники не оформляли трудовые книжки на неучтенных бланках. Под особым контролем должны находиться операции по проставлению в трудовых книжках печатей и штампов.

Целесообразно, чтобы эти операции производил только начальник отдела кадров, так как в противном случае может возникнуть опасность несанкционированного использования печатей и штампов предприятия.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия. Этот банк содержит основную массу ценных сведений о сотрудниках. Доступ работников отдела к справочно-информационному банку данных должен быть ограничен и определяется их служебными обязанностями.

Помимо операций с документами, работники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, так как посетители могут представлять определенную угрозу информационным ресурсам отдела кадров.

Прием посетителей чаще всего связан с ведением справочной работы (ответов на вопросы посетителей и выдачей им справок). Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается передача персональной информации по телефону. Ответы на письменные запросы других учреждений, фирм и организаций даются в том объеме, который позволяет не разглашать излишний объем персональных сведений.

Таким образом, работа отдела кадров любого предприятия связана с обработкой значительных объемов персональных сведений, отражающих профессиональные, деловые и личные качества сотрудников и являющихся конфиденциальными. Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях. 

 

3. Общие правила работы с документами  на предприятии. 

 

В настоящее время важным направлением в организации работы по защите информации является установление общего порядка обращения с ее носителями, такими как документы, чертежи, дискеты, компьютерные программы и т.п.

При этом следует учитывать, что:

- специалисты ставят  обязательным условием наличие  на носителях конфиденциальной информации отличительных пометок, различающихся в зависимости от уровня секретности;

- в условиях предприятия  обеспечить каждому исполнителю  работу в специально выделенном  помещении бывает практически  невозможно, поэтому следует работать  так, чтобы в отсутствие работника на его рабочем месте не было никаких документов.

Директор предприятия должен упорядочить процессы отражения конфиденциальной информации в деловых бумагах и организовать их движение таким образом, чтобы похищение конфиденциальных документов было бы затруднено настолько, чтобы оно становилось экономически невыгодным для похитителя.

При работе с документами, содержащими коммерческую тайну, следует соблюдать определенные правила, которые сводятся к нижеследующим:

- строгий контроль допуска персонала к секретным документам;

- назначение ответственных лиц, осуществляющих контроль секретного делопроизводства и наделение их соответствующими полномочиями;

- разработка инструкции  по работе с секретными документами, ознакомление с ней сотрудников предприятия;

- контроль принятия  служащими письменных обязательств  о сохранении коммерческой тайны  предприятия;

- введение системы материального  и морального поощрения сотрудников, имеющих доступ к секретной  информации;

- внедрение в повседневную  практику современных технологий защиты коммерческой тайны предприятия.

Существуют различные способы ведения защищенного делопроизводства, которые направлены на предотвращение утечки содержащихся в документах коммерческих секретов. Грамотно поставленная работа с документами поможет защитить их от постороннего глаза.

Не следует держать на столе сразу несколько документов, да к тому же различных по степени значимости. При работе с документами не следует выходить из комнаты, а если приходится выходить, то нужно закрыть дверь на ключ. Документы, которые правомерно могут потребовать сотрудники налоговой инспекции или правоохранительных служб, следует держать отдельно от остальных конфиденциальных бумаг. По окончании работы важные документы убираются в сейф. Помещение, где они хранятся, следует опечатать и сдать на хранение сотрудникам службы безопасности предприятия.

Вероятность утечки конфиденциальной информации из документов особенно велика в процессе их пересылки. Если нет возможности пользоваться услугами военизированной фельдсвязи, то доставку ценных документов следует организовать своими силами с привлечением сотрудников собственной службы безопасности или же обратиться в специализированные предприятия, которые такие услуги оказывают за плату.