Юридические советы

Аттестация компьютера для работы с персональными данными

Аттестация информационных систем является заключительным этапом создания системы защиты, призванным подтвердить соответствие информационной системы требованиям по безопасности информации. Для большинства организаций аттестация носит рекомендательный характер и ее проведение зависит от решения руководства. Проведение процедуры аттестации даст уверенность в том, что Ваши информационные системы надежно защищены и удовлетворяют всем требованиям по безопасности информации. Иначе дело обстоит с организациями, являющими государственными органами или исполняющими их функциями. Для таких учреждений в соответствии с нормативным документом «Специальные требования и рекомендации по технической защите конфиденциальной информации» аттестация носит обязательный характер.

Перед проведением аттестации необходимо провести экспертное обследование информационных систем и проанализировать имеющуюся документацию по безопасности информации. На основании полученных данных составляется Программа и методика аттестационных испытаний, которая согласуется с руководством организации. Непосредственно аттестационные испытания включают в себя:

  • проверка технологического процесса обработки и хранения информации и нейтрализации угроз безопасности;
  • аттестационные испытания рабочих станций и серверов на соответствие требованиям по защите от несанкционированного доступа;
  • аттестационные испытания антивирусной защиты;
  • аттестационные испытания межсетевого экрана (при наличии подключения к сетям общего пользования).

В случае, если при создании Модели угроз безопасности персональных данных утечка информации за счет побочных электромагнитных излучений и наводок (ПЭМИН) дополнительно проводятся аттестационные испытания автоматизированной системы от утечки за счет ПЭМИН. Аттестационные испытания проводятся для каждого рабочего места.

После проведения аттестационных испытаний составляются Заключение по результатам аттестационных испытаний и Протокол испытаний системы на соответствие требованиям по защите от несанкционированного доступа ( в случае аттестационных испытаний АС от утечки за счет ПЭМИН дополнительно составляется Протокол испытаний системы на соответствие требованиям по защите информации от утечки по техническим каналам).

На основании Заключения и Протокола принимается решение о выдаче Аттестата соответствия требованиям безопасности. Аттестат соответствия выдается на три года, по истечении которых необходимо повторное проведение аттестации. Также процедура аттестации должны быть проведена заново в случае замены оборудования, смены технологических процессов обработки информации и т.д.

Проведение аттестационных испытаний и выдача аттестата соответствия требованиям по безопасности информации.

Что такое аттестат соответствия? Это документ, который подтверждает, что автоматизированная информационная система соответствует требованиям безопасности информации, а также дает право определенное время обрабатывать конфиденциальную информацию.

Аттестат соответствия выдается сроком на 3 года, в течение которых должна быть обеспечена неизменность условий функционирования объекта и технологии обработки защищаемой информации.

Аттестовать автоматизированную информационную систему необходимо, если в ней обрабатываются:

Персональные данные

  • на соответствие требованиям, утвержденным приказом ФСТЭК России от 18.02.2013 г. № 21.

Конфиденциальная информация, отнесенная к государственному информационному ресурсу информации

  • на соответствие требованиям, утвержденным приказом ФСТЭК России от 11.02.2013 г. № 17;
  • на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30.08.2002 г. № 282.

Информация, содержащая государственную тайну

Информация, содержащая служебную тайну

  • на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30.08.2002 г. № 282;
  • на соответствие требованиям документа Положение по аттестации объектов информатизации по требованиям безопасности информации.

Обязательная аттестация автоматизированных информационных систем требуется для получения лицензии ФСТЭК или ФСБ.

*В остальных случаях аттестация является добровольной.

"Кадровик. Кадровое делопроизводство", 2011, N 9

ОРГАНИЗАЦИЯ РАБОЧИХ МЕСТ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

Деятельность отдела кадров неразрывно связана с обработкой персональных данных, в т. ч. отражающих деловые, профессиональные и личные качества сотрудников, т. е. функционирование кадрового подразделения должно подчиняться задачам обеспечения безопасности персональной информации в соответствии с требованиями законодательства. Правильная организация рабочего места сотрудника, ведущего обработку персональных данных, оказывает существенное влияние на систему защиты персональных данных работников. Именно этому вопросу посвящена данная статья.

Сущность персональных данных

В настоящее время в сфере обеспечения безопасности большое внимание уделяется информационной безопасности, т. к. наше современное общество всецело зависит от получаемых, обрабатываемых, передаваемых и хранимых данных. Таким образом, данные сами по себе приобретают высокую ценность.

Законодательными актами России и зарубежных стран предусматривается большое количество норм, направленных на регулирование создания, использования, передачи, обработки, хранения информации.

Меры обеспечения сохранности информации на каждом отдельном предприятии могут быть различны по масштабам и формам и зависеть от производственных, финансовых и иных возможностей предприятия, от количества и качества охраняемых сведений. При этом выбор таких мер необходимо осуществлять, исходя из принципов разумности и достаточности, придерживаясь "золотой середины", т. к. чрезмерное закрытие информации, так же как и небрежное отношение к ее сохранению, могут вызвать серьезные потери и убытки.

Читайте также:  Надбавка к пенсии 1000 рублей

Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Статья 2 Конституции РФ закрепляет основной принцип современного демократического общества: "Человек, его права и свободы являются высшей ценностью". Соответственно, и информация, непосредственно затрагивающая частные интересы человека, должна уважаться и защищаться государством.

В повседневной жизни человека сохранность информации о его личной жизни зависит от него самого, но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу — работодателю, в этом случае именно он отвечает за сохранность такой информации и обязан оберегать сведения о работнике от посягательства третьих лиц и нести ответственность за распространение таких данных.

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 04.06.2011) характеризует любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т. ч. его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию, как персональные данные и регулирует отношения, связанные с обработкой таких данных.

В общем виде персональные данные работников обладают следующей структурой:

— анкетные и биографические данные;

— сведения о трудовом и общем стаже;

— содержание трудового договора;

— сведения о заработной плате сотрудника;

— сведения о составе семьи;

— сведения о воинском учете;

— сведения о социальных льготах;

— адрес места жительства;

— место работы или учебы членов семьи и родственников;

— характер взаимоотношений в семье;

— состав декларируемых сведений о наличии материальных ценностей;

— содержание декларации, подаваемой в налоговую инспекцию;

— личные дела и трудовые книжки сотрудников;

— подлинники и копии приказов по личному составу;

— основания к приказам по личному составу;

— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.

Персональные данные относятся к конфиденциальной информации, т. е. информации строго ограниченного и регламентированного доступа. Эта информация составляет служебную или профессиональную тайну.

Требования к защите персональных данных

В организациях существует определенная совокупность правил работы с информацией персонального характера, образующейся в процессе выполнения работниками своих трудовых функций. Такие правила определяют основные полномочия отдела кадров или менеджера по персоналу, связанные со сбором, документированием, накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений обо всех категориях сотрудников. В рамках работы с кадровыми документами и оперативного хранения документов, содержащих персональные данные работников, существуют определенные требования, обязательное исполнение которых позволяет максимально защитить интересы работников в вопросе обеспечения безопасности их персональных данных.

В соответствии с п. 5 ст. 88 ТК РФ работодатель обязан соблюдать требование, согласно которому доступ к персональным данным работников может быть разрешен только специально уполномоченным лицам. При этом должно выполняться условие: указанные лица могут иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций. Поэтому в организации в обязательном порядке необходимо утвердить схему доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела кадров, также должна быть введена личная ответственность должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Словарь кадрового делопроизводства. Разрешительная система доступа — совокупность правовых норм и требований, устанавливаемых руководителем организации или коллективным органом управления с целью обеспечения правомерного ознакомления и использования сотрудниками сведений, персональных данных работников, необходимых им для выполнения служебных обязанностей.

Для того чтобы реализовать данное положение, руководитель предприятия должен издать приказ или распоряжение о закреплении за работниками отдела кадров или иного кадрового подразделения определенных массивов документов, необходимых им для выполнения своих функций, указанных в должностных инструкциях. По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. В целях разграничения доступа к персональным данным целесообразно закрепить за разными сотрудниками отдела кадров:

— документальное оформление трудовых правоотношений;

— ведение личных дел и трудовых книжек;

— составление и хранение приказов по личному составу и договорной документации;

Читайте также:  Где оформить сделку купли продажи гаража

— ведение информационно-справочного банка данных [1].

Распределение сфер деятельности зависит от объема работы и штатной численности работников отдела, однако разграничение обязанностей и документных массивов должно быть осуществлено в обязательном порядке, т. к. это позволяет организовать и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости перераспределения обязанностей работников внутри отдела (в случае болезни, увольнения и т. п.) должно быть издано соответствующее распоряжение начальника отдела кадров с отражением характера и срока подобного изменения, уточнением системы доступа к документам, делам и базам данных, содержащим персональные данные. При этом очень важно, чтобы в этом распоряжении фиксировалось изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциальность соответствующей документации.

Защита персональных данных работников осуществляется как организационными, так и правовыми способами. Организационный аспект защиты персональных данных основывается на принципе правильной организации движения информации, учитывающей методы ее обработки, организационно-управленческие концепции ее формирования и потребления. Персональные данные работников должны быть выделены из всей остальной информации, и для них необходимо установить особые правила обращения.

Создание системы защиты персональных данных работников предусматривает выявление возможных вариантов утечки/утраты информации, оценку возможностей перекрытия таких утечек/утрат, установление ограничений на доступ к персональным данным, инструктирование персонала, использование криптографических, а также программно-технических средств защиты персональных данных работников и т. п.

Правовые способы защиты информации предусматривают прежде всего создание юридической базы такой защиты в рамках государственного органы, должны быть разработаны инструкции, определяющие порядок обращения с персональными данными работников, установлены меры ответственности для лиц, виновных в разглашении такой информации.

Однако не всегда наличие подзаконного или локального нормативного акта о защите персональных данных позволяет снизить риски неправомерного обращения с информацией персонального характера. Является абсолютно очевидным тот факт, что персональные данные работника, которые в той или иной степени характеризуют его деловые, морально-этические, психологические качества, не всегда зафиксированы в документации.

В целях защиты информации персонального характера особое внимание должно быть уделено элементарным требованиям по правильной, грамотной, квалифицированной организации кадровой работы на локальном уровне, профессиональному уровню подготовки и информационно-правовой культуре сотрудников кадровых подразделений. Применение простейших методов защиты персональных данных, как и любой конфиденциальной информации, как правило, дает значительный эффект.

Работодатель обязан осознавать, что деятельность отдела кадров неразрывно связана с обработкой значительных объемов персональных сведений, отражающих профессиональные, деловые и личные качества сотрудников, соответственно, функционирование кадрового подразделения должно быть подчинено решению задач обеспечения безопасности персональных сведений в соответствии с требованиями законодательства, поэтому важным положением в организации работы с персональными данными работников должна занимать правильная организация рабочих мест персонала, обрабатывающего персональные данные сотрудников.

Организация рабочих мест

сотрудников при работе с персональными данными

Рациональная и эффективная организация рабочих мест сотрудников отдела кадров, обрабатывающих персональные данные работников предприятия, включает в себя ряд требований. Сертификация ФСТЭК России необходима для проведения успешных аттестаций информационных систем, особенно в случае применения ими систем обработки персональных данных. Пакет документов включает специальный знак соответствия ФСТЭК с уникальным номером, идентифицирующим данный экземпляр в системе государственного учета сертифицированных продуктов. В комплект поставки входит специальная документация для настройки и контроля сертифицированных параметров данного программного обеспечения.

Словарь кадрового делопроизводства. Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством РФ и федеральными органами по сертификации в пределах их компетенции. Каждый экземпляр сертифицированного продукта обладает пакетом документов государственного образца, подтверждающим факт сертификации.

1. Планировка служебных помещений в соответствии с технологией выполняемой в них работы, обеспечивающая наиболее эффективное использование рабочих площадей. Для отдела кадров должны быть выделены три смежных помещения: комната для работников отдела кадров, кабинет начальника отдела кадров, помещение, в котором размещаются шкафы, сейфы для документов, дел, картотек. Для ожидающих приема посетителей необходимо иметь дополнительное помещение за пределами основных помещений отдела кадров. Служебные помещения, отведенные для выполнения операций по подготовке и обработке документированной информации, должны планироваться с целью обеспечения их достаточным естественным и (или) искусственным освещением. За работником отдела кадров закрепляется постоянное рабочее место.

Рабочее место сотрудника, работающего с персональными данными работников, должно быть размещено таким образом, чтобы была исключена возможность обозрения находящихся на столе документов посторонними лицами. Помещение для размещения шкафов, сейфов может не иметь окон.

2. Размещение мебели и специального оборудования с учетом обязанностей работников и состава выполняемых ими операций должно осуществляться вдоль стен. В связи с личной ответственностью сотрудника отдела кадров за вверенные ему документы, содержащие персональные данные работников, рабочее место должно быть оснащено личным сейфом для хранения только тех документов, с которыми разрешено работать сотруднику в соответствии с разрешительной системой. Для переноса документов, содержащих персональные данные работников, необходим специальный кейс.

Читайте также:  Как поменять телефон на авито

3. Площадь для размещения одного автоматизированного рабочего места должна быть не менее 6 кв. м. При размещении автоматизированных рабочих мест расстояние между рабочими столами от плоскости задней части одного монитора до плоскости экрана другого монитора должно составлять не менее 2,0 м, а между смежными боковыми поверхностями соседних мониторов — не менее 1,2 м. Экран персонального компьютера не должен быть виден коллегам, посетителям, от входной двери и в окно. Компьютеры, на которых обрабатываются персональные данные работников, должны быть отключены от сети Интернет и не иметь портов для копирования информации с компьютера.

4. В качестве средств защиты информационной системы персональных данных работников от несанкционированного доступа используется программное обеспечение со встроенными механизмами защиты, сертифицированное в соответствии с требованиями Федеральной службы по техническому и экспортному контролю России. Компьютеры могут объединяться в отдельную локальную сеть, обрабатывающую персональные данные работников. Доступ к электронным документам, информационным массивам персональных данных работников регламентируется разрешительной системой доступа. При необходимости использования Интернета на рабочих местах обязательным условием является обеспечение вычислительной системы межсетевым экраном с использованием сертифицированного программного обеспечения.

5. Рабочие места, предназначенные для выполнения работы, требующей высокой концентрации внимания или значительного умственного напряжения, целесообразно ограничить перегородками высотой 1,5 — 2,0 м.

6. С целью создания и поддержания необходимого комфорта, способствующего эффективному труду, рабочие места оборудуются однотумбовыми столами, обеспечивающими удобное размещение вычислительной и оргтехники, а также основных предметов труда, постоянно используемой в работе литературы, карточек и лотков. В ящиках тумбы стола хранятся документы, используемые в работе в течение дня, а также вспомогательные предметы труда (канцелярские принадлежности). Хранение специальной и справочной литературы должно осуществляться в шкафах. На соответствующих полках в строго определенном порядке должны располагаться:

— инструкции и нормативно-методические документы по кадрам;

— справочники по законодательству, по административно-территориальному делению;

— орфографические и терминологические словари;

— картотеки-указатели к сборникам нормативно-правовых актов и организационно-распорядительных документов отдела кадров;

— списки работников предприятия с указанием структурных подразделений, номеров телефонов.

7. Своевременное получение работниками информации, необходимой для выполнения порученных операций, в течение всего рабочего времени обеспечивается:

— наличием достаточного свободного пространства между рабочими местами, не затрудняющего подход к ним и проход между ними;

— размещением на столах минимально необходимого для выполнения повседневной работы количества документов (материалов), на рабочем столе должен находиться только тот документ и материалы к нему, с которыми в настоящее время работает сотрудник. Другие документы должны быть размещены в закрытом сейфе;

— оборудованием рабочих мест средствами внутренней телефонной связи;

— соблюдением в служебных помещениях порядка и тишины;

— в связи с конфиденциальностью персональных данных работников необходим запрет на фотографирование, видеосъемку, несанкционированное копирование в помещениях отдела кадров.

8. Создание и поддержание на рабочих местах и в служебных помещениях оптимального микроклимата.

9. Защита работников от воздействия вредных факторов производственной среды. Шумящее оборудование, уровни шума которого превышают нормативные, должно размещаться в специально отведенных для этого помещениях.

10. Регулярное проведение в служебных помещениях и на рабочих местах комплекса работ по техническому обслуживанию и профилактике, а также необходимых санитарно-гигиенических мероприятий. Уборка помещений допускается только в присутствии сотрудников отдела кадров. Мусор уничтожается. Все помещения оборудуются средствами пожаротушения и охранной сигнализацией.

11. Постановку на охрану и снятие с охраны помещений отдела кадров осуществляет начальник отдела или его заместитель.

Итак, система защиты персональных данных работников организации реализуется в комплексе многочисленных мероприятий, среди которых важное положение занимает организация рабочих мест по обработке персональных данных работников. Правильная организация рабочих мест по обработке персональных данных работников является обязательным условием эффективности функционирования всей системы защиты персональных данных работников.

1. Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации: Учеб. пособие. М.: ИНФРА-М, 2001.

2. Маркевич А. С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях / Дис. на соиск. уч. ст. канд. юр. наук. Воронеж, 2006.

3. Пшенко А. В. Делопроизводство в кадровой службе: Учеб. пособие / Под общей редакцией А. Ф. Коротаева. М.: ИРЦ Газпром, 2005.

4. Рогожин М. Ю. Справочник по делопроизводству. М.: Юстицинформ, 2005.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector