Обеспечение кадровой безопасности в сфере высокотехнологичных производств

Информация о рационализаторском предложении, изобретении и т. п., находящемся в стадии разработки, несомненно, относится к коммерческой тайне. Рационализаторское предложение даже после его оформления и выдачи авторского свидетельства может оставаться коммерческой тайной, поскольку представляет собой техническое решение задачи, новое для данной фирмы. Изобретение после выдачи на него патента имеет специальную правовую охрану и поэтому не нуждается в защите как коммерческая тайна. Другое дело, если по соглашению с автором изобретения фирма примет решение не подавать заявку в Госпатент Российской Федерации. Тогда охрана информации полностью возлагается на фирму. Следует подчеркнуть, что решение не подавать заявку на изобретение на патентоспособное техническое решение возможно только по договоренности с автором (в письменной форме), так как по существующему правилу, если работодатель в течение трех месяцев с момента уведомления его автором о сделанном изобретении не подаст заявку на него, автор вправе сам подать заявку и получить патент. Кроме того, использование незарегистрированного (незапатентованного) изобретения в большинстве случаев будет затруднено - на использование в коммерческих целях большинства высокотехнологичных продуктов требуется лицензия. До недавнего времени 90 % авторских свидетельств получали гриф “для служебного пользования”. Вместо авторских свидетельств теперь выдают патент. Основным принципом патента является его обязательная открытость, что способствует ускорению научно- технического прогресса. Патент - тот же товар изобретателя, но государство продолжает засекречивать патенты, т.е. нарушает права изобретателей. Особое внимание необходимо обратить на отрицательные или тупиковые направления исследований, зачастую эта информация не считается конфиденциальной, но получение именно таких данных позволит вашим конкурентам сэкономить время и средства.

В плане защиты коммерческой тайны особое внимание следует уделять ИТ - сфере. Согласно проведенным в США в период с июля по август 2001 года исследованиям на основе выборочного online опроса 2500 специалистов в области ИТ были получены следующие экспертные оценки характера и степени внешних и внутренних угроз ИБ, которые вызывают повышенную озабоченность у всех категорий персонала, независимо от занимаемого положения, возраста и пола.

(2001 Industry Survey -- Information Security, October 2001).

Среди внешних угроз ИБ (Рис. 24) согласно полученным результатам исследований за последние 2 года возрос практически в 2 раза процент инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного проникновения через Интернет в информационные ресурсы, на 10% увеличилось количество случаев нарушения нормальной работы из-за влияния программ-вирусов, на 2% увеличилось количество отказов в обслуживании, связанных фактически на треть (до 32%) с переполнением буфера при спамах в электронной почте.

Рисунок 24. Динамика структуры внешних угроз информационной безопасности

Наибольшую проблему представляют происшествия, связанные с отказом в обслуживании (DOS -- Denial-of-Service), поскольку в результате их негативного проявления организация, как правило, на длительное время теряет доступ к ресурсам и услугам Интернета. Так в результате одного из проведенных исследований в США в 2001 г. в течение трех недель наблюдались и фиксировались результаты и последствия свыше 12 тысяч атак (нападений, вторжений) на 5 тысяч хост-ЭВМ в Интернете, принадлежащих 2 тысячам организаций. Анализ этой статистики выявил, что в 90% случаях продолжительность отказа в обслуживании по времени достигала 1 часа, что представляет серьезную опасность для предприятий так называемого непрерывного цикла работы (транспорт, энергетика, связь, неотложная медицинская помощь и др.). (Managing the Threat of Denial-of-Service Attacks, CERT Coordination Center, October 2001). Анализируя структуру внутренних угроз (Рис. 25), эксперты отмечают, как наиболее серьезные с точки зрения нарушения системы мероприятий в области ИБ, имевших место за последние два года, такие негативные проявления человеческого фактора в работе персонала как самовольная установка и использование нерегламентированного ПО (до 78% внутренних происшествий), увеличение случаев использования оборудования и ресурсов в личных целях (на 10%). Одновременно отмечается снижение на 7% количества случаев, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.

Рисунок 25. Динамика структуры внутренних угроз информационной безопасности

Интересно, что эти же тенденции проявляются и в военной области. Проводившаяся в феврале 2001 г. Службой генерального инспектора выборочная проверка условий эксплуатации программного обеспечения, установленного на объектах информационной инфраструктуры МО, показала, что даже в Пентагоне, где действуют жесткая дисциплина и порядок, имеют место серьезные нарушения правил информационной безопасности.

Особое внимание следует уделить охране договоров, заключаемых предприятием. Большая их часть, безусловно, относится к коммерческой тайне. Причем в определенных случаях охране подлежит не только текст договора, но и сам факт его заключения.

Разрабатывая меры по защите коммерческой тайны фирмы, необходимо экономически обосновать целесообразность засекречивания той или иной информации. В первую очередь выделяется информация, утечка которой может привести вашу фирму к банкротству. Это строго конфиденциальная (критичная) информация. В мире бизнеса, это, как правило, “ноу-хау”. К конфиденциальной информации относятся сведения о перспективах развития фирмы, ее клиентах, сроках и сумме кредитования. Огласка этих сведений, конечно же, не приведет к краху, но лишит фирму на какое-то время устойчивой прибыли. Также не подлежит огласке информация, раскрытие которой может привести к неблагоприятным последствиям. К ней относятся: номера домашних телефонов, адреса руководителей и сотрудников фирмы, текущие планы работы, информация о конфликтных ситуациях и т.п. Остальные сведения относятся к открытым, то есть доступным всем. Но следует иметь в виду, что неправильно поданная информация может помочь аналитикам из конкурирующей фирмы обнаружить ваши уязвимые места. Руководитель фирмы должен установить строгий порядок хранения первых экземпляров договоров и работы с ними. Их следует хранить в определенном месте у ответственного лица и выдавать только под расписку с письменного разрешения руководителя фирмы. На лица, ответственные за хранение договоров и работу с ними, возлагается персональная ответственность за утерю договоров или утечку информации из них. Все это необходимо потому, что деятельность коммерческих структур строится в большей степени на договорных началах, и конкурент или партнер по переговорам, обладая информацией в этой сфере, может составить довольно полную картину производственного и финансового положения фирмы. Пропажа (похищение) первых экземпляров договоров ведет к значительным затруднениям и даже невозможности доказывать те или иные положения при возникновении спора и его решении в судебном порядке. При подписании договора рекомендуется, чтобы представители сторон ставили подписи не только в конце договора, но и на каждом листе во избежание замены одного текста другим. Зачастую бумага для важных документов маркируется средствами оперативной идентификации (например, флуоресцирующими невидимыми чернилами, штемпельными красками, микрошрифтом). Нумерация документации с КТ, например - “Конфиденциально” начинается с одного нуля, четырехзначным числом - 0100 - 0999, документов этой группы с №№ 0001 - 0099, 1000 не должно быть, итого не более 900 экземпляров. “Строго конфиденциально” - начинается с двух нулей, трехзначным числом - 001 - 009 (9 экземпляров) или четырехзначным числом - 0010 - 0099 (90 экземпляров). Желательно также иметь возможность точно определить момент, когда возможная утечка КТ не повредит интересам Компании и в соответствии с этим планировать свою деятельность и маркировать документацию - например: “Строго конфиденциально особой важности - до 00:00 мин. 00.00.00г., с 00:00 мин. 00.00.00г. - Конфиденциально”. Датировка конфиденциальных документов также может производиться специальным образом - сначала двузначным числом дается год даты, потом двузначным числом дается порядковый номер недели этого года (неполным неделям в начале и в конце года также присваивается соответствующий номер) и затем дается однозначным числом день недели, например воскресенье - первый день, тогда дата 12 апреля 1961 года будет выглядеть как 61 (год) 15 (неделя) 4 (день - в данном случае среда) - 61154, а 08 марта 2004 года - 04112.

Следует отметить, что затраты зарубежных фирм на охрану своей коммерческой тайны составляют 10-15 % всех расходов на процесс производства. Поэтому наиболее расчетливые предприниматели пытаются на этом сэкономить, переложив затраты на плечи государства, путем получения госзаказов оборонного характера. Помимо прочих преимуществ, госзаказы позволяют пользоваться защитой государственных правоохранительных органов и, в первую очередь, контрразведки.

Допуская служащих фирмы к госсекретам, контрразведка с присущей ей тщательностью проверяет благонадежность каждого из них. Так, например проверка граждан США, получающих доступ к секретной информации, обычно включает:

- обязательную проверку на детекторе лжи (полиграфе). В число проверяемых включают также сотрудников служб безопасности и персонал фирм подрядчиков. Отказ от прохождения проверки на детекторе лжи влечет автоматическое лишение допуска или увольнение с работы;

- глубокое и всестороннее изучение досье кандидата на работу;

- проверка его биографических данных за последние 10 лет;

- выяснение целей и обстоятельств поездок за рубеж;

- исследование финансового положения.

В ходе проверки служащего полученные сведения сопоставляются с данными Национального банка информации о секретоносителях, где на каждого из них существует электронное досье. В нем содержатся данные предыдущих проверок, его фотография, фонограмма его голоса, сведения об изменении в его финансовом положении, о поездках за границу. Помимо проверки на благонадежность сотрудников коммерческой фирмы, получающих доступ к государственным секретам, контрразведывательные органы формируют систему безопасности фирмы, включая программу защиты, вводят в ее штат своих сотрудников.

Наша экономика находится лишь на этапе становления рыночных отношений, поэтому для коммерческих структур, не связанных с выполнением оборонных заказов, состояние защиты от промышленного шпионажа (в т.ч. от государственных органов РФ), выглядит удручающим.

Сразу же следует подумать о безопасности наиболее важных секретов, утечка которых может нанести ущерб, значительно превышающий затраты на их защиту. При этом надо установить:

- какая информация нуждается в защите (здесь рекомендуется также свериться с Указом Президента РФ от 06 марта 1997 г. №188 “Об утверждении перечня сведений конфиденциального характера”, Указом Президента Российской Федерации № 61 от 24 января 1998 г. “О перечне сведений, отнесенных к государственной тайне”, Указом Президента Российской Федерации № 1203 от 30 ноября 1995 г. “Об утверждении перечня сведений, отнесенных к государственной тайне” и Указом Президента №1268 от 26.08.96 “Список товаров и технологий двойного назначения, экспорт которых контролируется”);

- кого она может заинтересовать;

- каков “срок жизни” этих секретов и их коммерческая стоимость;

- во что обойдется их защита.

Затем следует подготовить план по охране коммерческой тайны. Он может состоять из двух разделов:

- предотвращение похищения секретной информации;

- предотвращение утечки секретной информации.

Для этого требуется:

- определить, какая коммерческая информация является секретом фирмы;

- установить места ее создания и накопления;

- выявить потенциальные каналы утечки информации;

- получить консультацию по перекрытию этих каналов у специалистов;

- проанализировать соотношение затрат по использованию различных систем, обеспечивающих защиту секретной информации с их качеством, и выбрать наиболее приемлемую;

- назначить людей, ответственных за каждый участок этой системы;

- составить график проверки состояния дел на участках и механизм внеплановых проверок.

В целях обеспечения документального оформления конфиденциального делопроизводства мной разработаны (адаптированы) следующие документы:

1. “Положение об организации защиты сведений конфиденциального характера, составляющих коммерческую, банковскую и служебную тайну компании ООО “_________” (далее Компании)” (Приложение 3);

2. “Договор об оформлении допуска сотрудника к банковской, коммерческой и служебной тайне (приложение к трудовому договору)” (Приложение 4);

3. “Инструкция о порядке проведения служебного расследования по фактам незаконного получения и разглашения сведений, составляющих банковскую, коммерческую и служебную тайну, нарушения порядка конфиденциального делопроизводства” (Приложение 5);

4. “Проект заключения о результатах служебного расследования по факту нарушения порядка защиты сведений конфиденциального характера” (Приложение 6);

5. “Обязательство сотрудника о недопущении конфликта интересов”. (Приложение 7);

6. “Договор о защите коммерческой информации (о конфиденциальности)” (Приложение 8);

7. “Специальные обязанности руководителей подразделений ______________ по защите коммерческой тайны” (Приложение 9).

Заключение

Итак, нами рассмотрены общие вопросы кадровой безопасности, вопросы кадровой безопасности в сфере высоких технологий, защиты персональных данных работников и конфиденциальной информации.

Кадровая безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет ликвидации или снижения рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Как мы увидели, кадровая безопасность распространяется на все сферы кадровой и управленческой работы. Особое значение кадровая безопасность принимает в высокотехнологичных областях. Ее обеспечение распределяется во всех элементах (отделах, структурных подразделениях) предприятия, но самую важную роль в этом процессе играет служба персонала.

Особый смысл приобретает конфиденциальность информации и защита персональных данных работников.

Наметившиеся изменения в корпоративном управлении, вызванные глобализацией рынков и структуры промышленности, сдвигами в архитектуре рабочих мест и демографии рабочей силы, ориентацией на высокие доходы собственников, быстрыми и непрерывными организационными и технологическими изменениями, являются стратегическими. Они охватывают не только бизнес в целом, но и организацию кадровой работы в корпорациях. Речь идет о следующих сдвигах в бизнесе:

· от автономного самообеспечения -- к безграничному партнерству;

· от иерархических или (и) централизованных структур -- к пластичным и децентрализованным структурам;

· от патриархальных моделей управления -- к делегированию полномочий;

· от ориентации на большие объемы и низкую себестоимость -- к ориентации на качество, быстроту и нововведения;

· от безошибочной работы -- к измеряемым ее усовершенствованиям;

· от закрытой организационной системы -- к открытой системе.

В сфере человеческих ресурсов корпорации:

· от узкой специализации и ограниченной ответственности за порученную работу -- к широким профессиональным и должностным профилям;

· от спланированного карьерного пути -- к информированному и гибкому выбору траектории профессионального развития;

· от ответственности менеджеров за развитие персонала -- к ответственности самих работников за собственное развитие;

· от контроля над проблемами, с которыми сталкиваются работники, -- к созданию возможностей для всестороннего профессионального роста каждого работника;

· от уклонения от обратной связи с подчиненными -- к ее активному поиску;

· от секретного рассмотрения факторов успеха, вакантных рабочих мест и отбора специалистов -- к открытому обсуждению уровня компетентности работников, имеющихся вакансий и путей их заполнения.

В условиях серьезного системного кризиса науки и образования в России, отсутствия их нормального финансирования со стороны государства, слабой юридической защищенности, коррозии морально-нравственной составляющей личности при высоком интеллектуальном потенциале, катастрофической нехватке высококвалифицированных научных кадров, усиления демографической проблемы, обеспечение кадровой безопасности в области высоких технологий - процесс достаточно сложный. Не “одноразовый” анализ ситуации и “постановка” процесса, а постоянный мониторинг, коррекция и внедрение улучшений, упреждающих действий, адекватная мотивация персонала, создание систем с “разделением ключа” (невозможностью накопления у одного - двух сотрудников любого уровня критического объема информации и полномочий) позволит удержать предприятие в границах стабильного развития.

Использованные источники:

1. Публикации на Интернет-сайтах:

www.sec.ru,

www.ciber-crimes.ru,

http://kariera.idr.ru/,

http://www.poteri.net/,

http://www.ippnou.ru/,

www.washprofile.org,

http://www.n-t.org/ac/baa/,

http://www.penza-job.ru/

2. Т. Ю. Базаров “Управление персоналом”.

3. М.Ю. Рогожин “Справочник кадровика”, М. - 2004г.

4. С.А. Карташов, Ю.Г. Одегов, И.А. Кокорев “Рекрутинг - найм персонала”, М. - 2003г.

5. Э.П. Гаврилов “Комментарий к закону об авторском праве и смежных правах”, М. - 2005г.

6. М.С. Восленский “Номенклатура”, М. - 1991г.

7. А.А. Садердинов, В.А. Трайнёв, А.А. Федулов, М. - 2005г. “Информационная безопасность предприятия”.

8. Гамза В.А., Ткачук И.Б., “Безопасность коммерческого банка”, М.- 2000 г.

9. Орловский Ю.П. Комментарий к Трудовому кодексу Российской Федерации (с изменениями от 30 июня 2006г.). М. - 2006г.

10. Ронин Р. “Своя разведка”, М. - 1999г.

Законодательство:

Конституция Российской Федерации.

Трудовой Кодекс Российской Федерации от 30.12.2001г. с изм. от 30.06.2006г.

Уголовный Кодекс Российской Федерации от 13.06.1996г. № 63-ФЗ.

Уголовно - процессуальный кодекс Российской Федерации

от 18.12.2001г. № 174-ФЗ.

Гражданский Кодекс Российской Федерации (Ч. 1) от 30.11.1994г. № 51-ФЗ с изм. и доп., вступающими в силу с 01.09.2006г., (Ч. 2) от 26.01.1996г. №14-ФЗ в ред. от 02.02.2006г., (Ч. 3) от 26.11.2001г. №146-ФЗ в ред. от 03.06.2006г.

ФЗ РФ “О персональных данных” от 08.07.2006г. № 152-ФЗ.

ФЗ РФ “О безопасности” № 2446-1 от 05 марта 1992 года (в ред. Закона РФ от 25.12.1992 № 4235-1, Указа Президента РФ от 24.12.1993 №2288, Федеральных законов от 25.07.2002 № 116-ФЗ, от 07.03.2005 № 15-ФЗ).

ФЗ РФ “Об информации, информатизации и защите информации” от 10.01.2003 № 15-ФЗ.

ФЗ РФ “Об участии в международном информационном обмене” (в ред. Федеральных законов от 30.06.2003 № 86-ФЗ, от 29.06.2004 № 58-ФЗ)

ФЗ РФ “О коммерческой тайне” от 15 июля 2004 года № 98-ФЗ

ФЗ РФ “Об авторском праве и смежных правах” от 9 июля 1993 г. № 5351-1

ФЗ РФ “О государственной тайне” от 21 июля 1993 года № 5485-1 (в ред. Федерального закона от 06.10.97 № 131-ФЗ), вводится в действие постановлением ВС РФ от 21.07.93 № 5486-1

ФЗ РФ “Об адвокатской деятельности и адвокатуре в Российской Федерации” от 31.05.02г. № 63-ФЗ.

ФЗ РФ “О банках и банковской деятельности” от 02.12.90г. № 395-1 (с изменениями от 29.07.04г.).

ФЗ РФ “О страховании вкладов физических лиц в банках Российской Федерации” от 23.12.03г. № 177-ФЗ (с изменениями от 20.08.04г.).

ФЗ РФ “Об актах гражданского состояния” от 15 ноября 1997г. №143-ФЗ.

ФЗ РФ “Об ипотечных ценных бумагах” от 11 ноября 2003г. №152-ФЗ

ФЗ РФ “О товарных биржах и биржевой торговле” от 20 февраля 1992г. №2383-1 (с изменениями от 29 июня 2004г.).

ФЗ РФ “Об основах государственной службы” от 31.07.1995г. №119-ФЗ (в ред. от 27.05.2003г.).

Указ Президента РФ от 06 марта 1997 г. №188 “Об утверждении перечня сведений конфиденциального характера”.

Указ Президента Российской Федерации № 61 от 24 января 1998 г. “О перечне сведений, отнесенных к государственной тайне”.

Указ Президента Российской Федерации № 1203 от 30 ноября 1995 г. “Об утверждении перечня сведений, отнесенных к государственной тайне”.

Указ Президента №1268 от 26.08.96 “Список товаров и технологий двойного назначения, экспорт которых контролируется”);

“Основы законодательства Российской Федерации об охране здоровья граждан” от 22.07.93г. №5487-1 (с изменениями на 22 августа 2004г.).

Приказ Федерального фонда ОМС “О соблюдении конфиденциальности сведений, составляющих врачебную тайну” от 25 марта 1998г. №30.

Приказ МВД РФ № 684, Минюста РФ № 184, ГТК РФ № 560, ФСБ РФ № 353, ФСНП РФ № 257, ФПС РФ № 302 от 26.06.2000 «Об утверждении инструкции об организации информационного обеспечения сотрудничества правоохранительных и иных государственных органов Российской Федерации по линии Интерпола» // Документ опубликован не был.

Приказ Федерального агентства правительственной связи и информации при Президенте РФ от 13 июня 2001 г. № 152 “Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, зарегистрировано в Минюсте РФ 6 августа 2001 г. № 2848

Приказ Федеральной Службы Безопасности РФ “Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)” от 09 февраля 2005г. №66, зарегистрировано в Минюсте РФ 03 марта 2005г. №6382.

Приказ Федеральной Службы Безопасности РФ “Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия” от 13 ноября 1999г. № 564, зарегистрирован в Минюсте РФ 27 декабря 1999 г. № 2028.

Приказ Федеральной службы по техническому и экспортному контролю “Об утверждении регламента Федеральной службы по техническому и экспортному контролю” от 12 мая 2005г. №167.

Приложение 1.

Утверждаю КОНФИДЕНЦИАЛЬНО

______________ Генеральный директор

ООО “___________________”

“___”______________ 200__г.

Положение о защите

персональных данных работника

СОДЕРЖАНИЕ:

1. ОБЩИЕ ПОЛОЖЕНИЯ.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ.

3. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ.

4. ОБЯЗАННОСТИ РАБОТНИКА.

5. ПРАВА РАБОТНИКА.

6. СБОР ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ.

8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ.

9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, действующим законодательством РФ и международными договорами, ратифицированными РФ. В случае противоречия Законодательства РФ и международного законодательства, применяются положения международного законодательства. Данное Положение определяет понятия, общие требования и порядок защиты персональных данных работника на предприятии. Цель данного Положения - защита персональных данных от несанкционированного доступа и иных угроз.

1.2. Сбор, хранение, использование и распространение информации о частной жизни лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации.

1.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому работнику возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

1.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством Российской Федерации.

1.6. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

1.7. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 Федерального закона и законодательства о персональных данных.

1.8. Настоящее положение утверждается генеральным директором Холдинга и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным сотрудника.

2. Понятие и состав персональных данных.

2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. 

2.2. Состав Персональных данных работника:

- Анкетные и биографические данные;

- образование;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность,

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики;

Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.

3. Обязанности работодателя

3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

3.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;

3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;

3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения без его письменного согласия;

3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;

3.1.8. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, об их правах и обязанностях в этой области, а также порядке защиты своих прав и законных интересов;

3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны;

4. Обязанности работника

4.1. Передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;

4.2. Своевременно сообщать работодателю об изменении своих персональных данных;

5. Права работника

5.1. Требовать исключения или исправления неверных или неполных персональных данных;

5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

5.3. Персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;

5.4. Определять своих представителей для защиты своих персональных данных;

5.5. На сохранение и защиту своей личной и семейной тайны.

6. Сбор, обработка и хранение персональных данных

6.1. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

6.2. Обработка, передача и хранение персональных данных работника.

К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:

- администрации (в части их касающейся);

- бухгалтерии (в части их касающейся);

- сотрудники службы управления персоналом (в части их касающейся);

- сотрудники компьютерных отделов (в части их касающейся);

- сотрудники других отделов, служб и подразделений могут получать доступ к персональным данным работника в виде исключения по решению руководителя этого отдела (службы, подразделения), согласованного с начальником Службы управления персоналом и начальником отдела (службы, подразделения) работника, данные которого раскрываются, после прохождения процедуры допуска к персональным данным работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или третьих лиц, а также в случаях, установленных федеральным законом;

6.3. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или третьих лиц, а также в случаях, установленных федеральным законом;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право

получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

6.4. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в формах и в целях выполнения задач, соответствующих объективной причине сбора этих данных.

6.5. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы Компании работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или третьих лиц или в случаях, установленных федеральным законом.

6.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

6.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте либо иным способом, ставящим под угрозу несанкционированное раскрытие (утрату, утечку) персональных данных работника.

6.8. По возможности персональные данные обезличиваются.

7. Доступ к персональным данным сотрудника

7.1. Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным сотрудника имеют:

- генеральный директор компании;

- сотрудники администрации;

- сотрудники бухгалтерии;

- сотрудники службы управления персоналом;

- сотрудники компьютерных отделов.

- сотрудники других отделов, служб и подразделений могут получать доступ к персональным данным работника в виде исключения по решению руководителя этого отдела (службы, подразделения), согласованного с начальником Службы управления персоналом и начальником отдела (службы, подразделения) работника, данные которого раскрываются, после прохождения процедуры допуска к персональным данным работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или третьих лиц, а также в случаях, установленных федеральным законом;

- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только сотрудников своего подразделения);

- при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

- сам работник, носитель данных.

Другие сотрудники организации имеют доступ к персональным данным работника только с письменного согласия самого работника, носителя данных.

7.2. Внешний доступ.

7.2.1. К числу массовых потребителей персональных данных вне Компании можно отнести государственные и негосударственные функциональные структуры:

- налоговые инспекции;

- правоохранительные органы;

- органы статистики;

- страховые агентства;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения муниципальных органов управления;

7.2.2. Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции.

7.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

7.2.4. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

7.2.5. Родственники и члены семей.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия (в соответствии с положениями Уголовного кодекса РФ).

8. Защита персональных данных

Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

8.1. «Внутренняя защита».

Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных работников необходимо соблюдать ряд мер:

ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

строгое избирательное и обоснованное распределение документов и информации между работниками;

рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

знание работником требований нормативно - методических документов по защите информации и сохранении тайны;

наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

организация порядка уничтожения информации;

своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Генеральному директору, Начальнику отдела персонала и в исключительных случаях, по письменному разрешению Генерального директора, руководителю структурного подразделения.

8.1.1. Защита персональных данных сотрудника на электронных носителях.

Все файлы (папки), содержащие персональные данные сотрудника, должны быть защищены паролем и иными средствами идентификации и аутентификации (в т.ч. с “разделением ключа”), которые обеспечивают руководителю службы управления персоналом и руководителю службы информационных технологий полный и безопасный авторизованный допуск к персональным данным работников в части их касающейся.

8.2. «Внешняя защита».

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение компьютерного “вируса”, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур.

Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

8.2.1. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

порядок приема, учета и контроля деятельности посетителей;

пропускной режим компании;

учет и порядок выдачи удостоверений;

технические средства охраны, сигнализации;

порядок охраны территории, зданий, помещений, транспортных средств;

требования к защите информации при интервьюировании и собеседованиях.

8.2.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.2.3. Все лица, связанные с получением, обработкой и защитой персональных данных сотрудника обязаны заключить “Соглашение о неразглашении персональных данных сотрудников компании”.

9.Ответственность за разглашение конфиденциальной информации, связанной с

персональными данными.

9.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

9.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

9.3. Каждый сотрудник компании, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.4. Лица, виновные в нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) несут дисциплинарную, административную, гражданско - правовую или уголовную ответственность в соответствии с федеральным законом.

10. Заключительные положения.

10.1. Настоящее положение вступает в силу с момента его утверждения Генеральным директором ООО “________________”.

10.2. Изменения и дополнения в настоящее положение могут быть внесены на основании приказа Генерального директора ООО “__________________”, по согласованию с профсоюзным комитетом предприятия либо иными законными представителями работников.

Руководитель Службы

Управления персоналом ____________________ «___»______________ 200__ г.

Руководитель

Юридического отдела ____________________ «___»______________ 200__ г.

Приложение 2.

Утверждаю КОНФИДЕНЦИАЛЬНО

______________ Генеральный директор

ООО “___________________”

“___”______________ 200__г.

Соглашение о неразглашении

персональных данных сотрудника

Я, ______________________________________, паспорт серии ______, номер ______________, выдан ______________________________________________________ “____” ___________ ______ года, понимаю, что получаю доступ к персональным данным сотрудников ООО “_________________”. Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных сотрудников.

Я понимаю, что разглашение такого рода информации может нанести ущерб сотрудникам фирмы, как прямой, так и косвенный.

В связи с этим, даю обязательство, при работе (сборе, обработке и хранение) с персональными данными сотрудника соблюдать все описанные в “Положении о защите персональных данных сотрудника” требования.

Я подтверждаю, что не имею права разглашать перечисленные ниже сведения:

- анкетные и биографические данные;

- образование;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность,

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики;

- иные сведения о работнике, в соответствии с законодательством Российской Федерации и локальными актами компании.

Я предупрежден (-а) о том, что в случае разглашения мной сведений, касающихся персональных данных сотрудника или их утраты я несу ответственность в соответствии с Трудовым Кодексом РФ ст. 90., иными законодательными актами РФ и внутренними положениями компании.

С “Положением о защите персональных данных сотрудника” ознакомлен (-а).

“____” ______________ 200__ г. ___________________

Приложение 3.

Утверждаю КОНФИДЕНЦИАЛЬНО

______________ Генеральный директор

ООО “___________________”

“___”______________ 200__г.

Положение об организации защиты сведений конфиденциального характера, составляющих коммерческую, банковскую и служебную тайну компании

ООО “_______________” (далее Компании)

1. Общие положения.

1. 1. Настоящий документ, разработанный в соответствии с требованиями Конституции Российской Федерации, Федерального Закона Российской Федерации “О коммерческой тайне” от 29 июля 2004г. №98-ФЗ, других нормативных актов, устанавливает порядок определения сведений, составляющих коммерческую тайну (далее также - конфиденциальная информация и защищаемая информация) и основные требования, относящиеся к ее защите.

1. 2. Устанавливаемый настоящим положением порядок распространяется на все виды деятельности, связанной с приборами, средствами электронно-вычислительной техники, оперативной полиграфии, изделиями, документами и изданиями, имеющимися в Компании, независимо от их местонахождения и места создания.

1. 3. Защите в качестве конфиденциальных сведений в Компании подлежат сведения, неправомерное ознакомление с которыми третьих лиц может причинить ущерб его коммерческим и/или иным интересам.

1. 4. Источником сведений, составляющих банковскую, коммерческую и служебную тайну Компании, являются: информация, полученная в результате участия Компании в ее создании, от контрагентов по договору, а также приобретенная другими способами, не противоречащими законодательству.

1. 5. Сведения, подлежащие защите в качестве конфиденциальных, классифицируются по степени их конфиденциальности на “конфиденциальные”, “строго конфиденциальные” и “строго конфиденциальные особой важности”.

1. 6. Степень конфиденциальности сведений, составляющих коммерческую, банковскую и служебную тайну устанавливается с учетом тяжести возможных последствий в случае их неправомерного использования третьими лицами.

1. 7. Документам, содержащим сведения, составляющие коммерческую тайну, в зависимости от степени их конфиденциальности присваивается гриф: “конфиденциально”, “строго конфиденциально”, “строго конфиденциально особой важности”.

2. Определение сведений, подлежащих защите в качестве коммерческой, банковской и служебной тайны Компании.

2. 1. Выявление и оценка степени конфиденциальности сведений, составляющих коммерческую, банковскую, служебную тайну, осуществляются постоянно действующей комиссией Компании по защите коммерческой, банковской и служебной тайны (далее - комиссия).

2. 2. Комиссия формируется из руководителей и сотрудников ведущих структурных подразделений Компании.

2. 3. В целях исполнения возложенных на нее обязанностей комиссия может создавать рабочие группы из числа сотрудников Компании, привлекать для консультаций отдельных специалистов Компании и частных лиц, осуществлять в указанных целях взаимодействие с представителями правоохранительных органов и специальных служб и иных структур государственной и негосударственной форм собственности.

2. 4. Для выявления конфиденциальных сведений, подлежащих защите, и определения степени их конфиденциальности комиссия проводит опрос ведущих специалистов Компании, представителей контрагентов и частных лиц, осуществляет в указанных целях взаимодействие с представителями правоохранительных органов и специальных служб и иных структур государственной и негосударственной форм собственности.

2. 5. Поступающие предложения подвергаются экспертной оценке комиссии с целью обоснования целесообразности закрытия свободного доступа к этим сведениям третьих лиц.

2. 6. Решение комиссии об отнесении сведений к категории защищаемой информации оформляется в виде проекта перечня основных категорий сведений, составляющих коммерческую, банковскую и служебную тайну Компании.