Организация конфиденциального делопроизводства

Организация конфиденциального делопроизводства означает создание необходимых условий для изготовления и получения конфиденциальных документов, организации работы с ними и предотвращения утраты и утечки документированной конфиденциальной информации.

Организация конфиденциального делопроизводства включает:

- создание подразделения, обеспечивающего изготовление, учет, хранение, обработку и использование конфиденциальных документов, установление его статуса, структуры, численного и должностного состава;

- разработку положения о подразделении и должностных инструкций сотрудников;

- выделение для подразделения служебного помещения;

- обеспечение необходимых условий труда;

- разработку или приобретение нормативных документов и методической литературы по организации и ведению конфиденциального делопроизводства;

- создание постоянно действующей экспертной комиссии;

- оформление допуска сотрудников к коммерческой и служебной тайне и обучение их правилам работы с конфиденциальными документами.

В целях обеспечения условий для сохранности и конфиденциальности документов и в силу небольшого по сравнению с открытым делопроизводством объема документов конфиденциальное делопроизводство должно быть централизованным, т.е. сосредоточенным в едином подразделении предприятия.

При незначительном объеме конфиденциального делопроизводства специальное подразделение конфиденциального делопроизводства может не создаваться. В этом случае обязанности по работе с конфиденциальными документами возлагается на работников других подразделений.

Основные задачи и функции подразделения конфиденциального делопроизводства должны быть закреплены в положении о подразделении, а обязанности, права, ответственность сотрудников - в должностных инструкциях.

В соответствии с законодательством сотрудники подразделения конфиденциального делопроизводства несут дисциплинарную, административную либо гражданско-правовую ответственность за утрату конфиденциальных документов или разглашение содержащейся в них информации, поэтому в должностных инструкциях должна быть установлена персональная ответственность сотрудников за сохранность конфиденциальных документов и содержащейся в них информации.

Важной составной частью организации конфиденциального делопроизводства является создание постоянно действующей экспертной комиссии (ПДЭК). Задачами такой комиссии должны быть:

— разработка перечней сведений, составляющих коммерческую и служебную тайну;

— разработка перечней издаваемых предприятием конфиденциальных документов;

— снижение или снятие степени конфиденциальности сведений и грифа конфиденциальности документов;

— разработка Положения о системе доступа к конфиденциальным документам;

— экспертиза ценности конфиденциальных документов с целью установления сроков их хранения и отбора документов на основе этих сроков для архивного хранения и уничтожения;

— проведение аналитической работы по предотвращению утечки и утраты конфиденциальной информации.

Сотрудники, работающие с конфиденциальными документами, должны иметь допуск к соответствующим видам тайны. Допуск сотрудников предприятия к коммерческой и служебной тайне осуществляется с их согласия и предусматривает:

— принятие сотрудниками обязательств по соблюдению установленного на предприятии режима соответствующего вида тайны, которые закрепляются в трудовом договоре или специальном соглашении;

— ознакомление сотрудников с положениями законодательства, предусматривающими ответственность за нарушение конфиденциальности;

— ознакомление сотрудников с перечнями сведений, составляющих коммерческую и служебную тайну предприятия, и к которым сотрудники имеют право доступа.

Порядок изготовления конфиденциальных документов, режим обращения с ними требуют определенных знаний, которые должны быть приобретены до начала работы с документами и постоянно пополняться. С этой целью необходимо организовывать различные формы обучения сотрудников: техническую учебу, семинары, самостоятельную подготовку со сдачей зачетов и др. Для проведения занятий следует привлекать не только сотрудников подразделения конфиденциального делопроизводства, но и руководителей соответствующих подразделений предприятия, а также специалистов по конфиденциальному делопроизводству, работающих в соответствующих научно-исследовательских и учебных заведениях.

 

Персональные данные

Персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

При заключении трудового договора работодатель получает от работника необходимую ему информацию, документы, сведения и т.п., которые приобщает к личному делу. Сбор персональных данных осуществляется в формах, предусмотренных законом. Работодателю запрещено требовать документы, которые не предусмотрены законом.

Среди документов и материалов, содержащих информацию, необходимую работодателю в связи с трудовыми отношениями, основное место занимают:

1) документы, предъявляемые при заключении трудового договора (ст. 65 ТК РФ):

- паспорт или иной документ, удостоверяющий личность (справка формы Ф1; загран.паспорт; военный билет, если в связи со службой паспорт изъят);

- трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.

2) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры (например, работники в возрасте до 18 лет);

3) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);

4) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей (документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций).

Персональные данные работника накапливаются по месту работы и содержатся в кадровой документации, включающей в себя:

- личные дела и трудовые книжки работников;

- документы, возникающие при оформлении трудовых правоотношений (при решении вопросов о приеме на работу, переводе, увольнении, поощрении и т.д.);

- документы по анкетированию, тестированию;

- приказы (распоряжения) по личному составу;

- документация по аттестации сотрудников, служебным расследованиям;

- учетная документация (картотеки, книги, журналы и другие);

- аналитическая и справочная документация, как используемая руководством, так и выдаваемая работникам для представления в заинтересованные органы;

- отчетная документация, передаваемая в государственные органы статистки, налоговые органы и другие учреждения.

Правила получения персональных данных:

- Все персональные данные работника следует получать у него самого;

- Если персональные данные работника возможно полу­чить только у третьей стороны, то работник должен быть уве­домлен об этом заранее и от него должно быть получено пись­менное согласие на их получение.

Правила передачи персональных данных работника:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законом;

- осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном законом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций (ст. 88 ТК РФ).

 

10. Роль HR-менеджеров

Роль менеджеров по персоналу (HR-менеджеров) в обеспечении информационной безопасности организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.

Надлежащая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.

Практическая реализация всех положений сформированной политики информационной безопасности потребует от предприятия длительных практических усилий. Одним из основных и наиболее сложных направлений работы является работа с персоналом, цели которой:

  • отбор и предварительная проверка персонала, принимаемого на работу (на службу);
  • обучение сотрудников;
  • достижение взаимопонимания руководителей и сотрудников в вопросах обеспечения информационной безопасности;
  • психологическая подготовка с целью противостояния методам т.н. "социальной инженерии".

В одной из своих книг известный специалист по проблемам информационной безопасности Брюс Шнайер заметил, что в общей системе мер по защите информации "математический аппарат является безупречным, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны. Я изучил множество вопросов, связанных с обеспечением безопасности компьютеров и сетей, и могу утверждать, что не существует решения проблемы человеческого фактора". Это высказывание наиболее ярко и наглядно демонстрирует важность целенаправленных мероприятий по подбору, расстановке и работе с кадрами предприятия с той целью, чтобы в работе информационных систем не возникло "узких мест" и т.н. человеческий фактор не стал наиболее весомым источником угроз для информационной безопасности. Основной причиной, определяющей значимость человеческого фактора в общей системе защиты информации, является то, что при всей развитости современных средств автоматизации информационные системы по-прежнему представляют собой человеко-машинные комплексы и их (систем) функционирование во многом зависит от работы отдельных людей. Именно по этой причине неадекватное обращение служащих предприятия с компонентами информационной системы может нанести серьезный ущерб информационной безопасности даже при наличии детально проработанных политик безопасности и высокоэффективных программных и аппаратных средств защиты информации.

Начальная стадия работы – подбор и расстановка кадров – может иметь несколько аспектов. При подборе и расстановке кадров могут применяться как формализованные, так и менее формализованные методы. Это могут быть различные методики психологической оценки, включающие в себя:

  • анализ мотивационных аспектов личности;
  • оценку психологической устойчивости личности;
  • оценку уровня познавательных способностей личности (успешность приобретения новых знаний и навыков и способность к их практическому применению);
  • оценку активности личности в достижении поставленной цели, умение объективно оценивать ситуацию и людей, умение вырабатывать оптимальную стратегию поведения.

Такого рода анализ может быть необходим как в отношении специалистов и руководителей, которые работают с информацией, подлежащей защите, в связи с выполнением своих должностных обязанностей по основному профилю работы предприятия, так и специалистов и руководителей, чьей основной задачей является обеспечение информационной безопасности предприятия (аудиторов ИБ, проектировщиков и администраторов информационных систем и систем защиты информации и т.п.).