- •Глава 7. Обеспечение безопасности информации на наиболее уязвимых направлениях деятельности предприятия
- •7.1. Защита информации при проведении совещаний и переговоров
- •7.2. Защита информации при работе с посетителями
- •7.3. Организация защиты информации в кадровой службе
- •7.4. Организация работы с документами
- •Контрольные вопросы
7.3. Организация защиты информации в кадровой службе
Работа отдела кадров предприятия связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о всех категориях сотрудников.
Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа [10].
Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи не тождественна личной тайне по составу защищаемых сведений.
Под персональными данными понимается любая документированная информация, относящаяся к конкретному человеку, так называемая личная тайна. Личная тайна гражданина охраняется Конституцией Российской Федерации.
Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Держатели персональных данных – органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными. Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи [9].
Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.
Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.
Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны – служебной или профессиональной тайне. Наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями.
C целью выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделяют две большие группы документации [9]:
документация по организации работы отдела;
документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.
Первая группа документации содержит организационно-правовую документацию отдела кадров и включает положение об отделе, должностные инструкции работников отдела, указания руководства предприятия, регламентирующие структуру отдела, рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.) в процессе основной деятельности отдела кадров, и содержащая персональные данные работников.
Вторая группа – документация, образующаяся, включает:
комплексы документов для оформления гражданина на работу, при переводе, увольнении;
комплексы материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;
подлинники и копии приказов по личному составу;
личные дела и трудовые книжки сотрудников;
дела, содержащие основания к приказам по личному составу;
дела, содержащие материалы аттестации сотрудников, служебных расследований и т.п.;
справочно-информационный банк данных по персоналу.
Основным моментом в защите персональных и конфиденциальных данных является четкая регламентация функций работников отдела кадров. По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела.
При оформлении на личных делах гриф ограничения доступа не ставится, так как весь комплекс личных дел является конфиденциальным. Личное дело должно обязательно иметь опись документов, включенных в дело. Листы дела нумеруются в процессе формирования дела. При помещении в личное дело нового документа данные о нем первоначально вносятся в опись дела, затем листы документа нумеруются и только после этого документ подшивается. Изменения и дополнения в персональные данные вносятся в дополнение к личному листку по учету кадров на основании приказов по личному составу и документов, предоставляемых сотрудниками. Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью работника отдела кадров.
В сферу ответственности работника, осуществляющего ведение личных дел, входит работа с трудовыми книжками сотрудников предприятия. Трудовые книжки всегда хранятся отдельно от личных дел. Начальник отдела должен строго контролировать, чтобы подчиненные ему работники не оформляли трудовые книжки на неучтенных бланках. Под особым контролем должны находиться операции по проставлению в трудовых книжках печатей и штампов. Целесообразно, чтобы эти операции производил только начальник отдела кадров, так как в противном случае может возникнуть опасность несанкционированного использования печатей и штампов предприятия.
Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия. Этот банк содержит основную массу ценных сведений о сотрудниках. Доступ работников отдела к справочно-информационному банку данных должен быть ограничен и определяться их служебными обязанностями.
Помимо операций с документами, работники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, так как посетители могут представлять определенную угрозу информационным ресурсам отдела кадров.
Прием посетителей чаще всего связан с ведением справочной работы: ответов на вопросы посетителей и выдачей им справок. Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается передача персональной информации по телефону. Ответы на письменные запросы других учреждений, фирм и организаций даются в том объеме, который позволяет не разглашать излишний объем персональных сведений.
Таким образом, работа отдела кадров любого предприятия связана с обработкой значительных объемов персональных сведений, отражающих профессиональные, деловые и личные качества сотрудников и являющихся конфиденциальными. Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях [10].