Среда обработки персональных данных должна формироваться отдельно от сети общего доступа , при этом изолировать эту сеть с помощью « воздушного зазора » не обязательно
Так , абсолютно на усмотрение руководства предприятия в этом случае будет вопрос о создании закрытой сети с « воздушным зазором »: обычно необходимости в такой сети не бывает , достаточно грамотно прописать права доступа пользователей к файлам и папкам , а также принтерам . Это могут сделать специалисты отдела информационных технологий , а проконтролировать – специалисты отдела информационной безопасности . Не имеет смысла обычно в этом случае и создавать отдельную структуру на предприятии – отделы информационной технологии и информационной безопасности ( а иногда – группа информационной безопасности как подразделение отдела информационных технологий ) отлично справятся как с задачами составления регламентов обработки информации , содержащей КТ и КИ , так и с задачами контроля соблюдения этих регламентов .
Как уже говорилось выше , важнейшим разделом обработки информации , содержащей КТ и КИ , является обработка персональных данных – персональные данные законодательством отнесены к конфиденциальной информации . Персональные данные обрабатываются в любой организации : это , например , база данных кадров / бухгалтерии ( обычно 1С ), система СКУД , телефонные справочники организации . А самое главное – информация о посетителях ! Оформляя пропуск в организацию , Вы , читатель , наверняка отдавали свой паспорт ( или паспортные данные ) для копирования . А ведь это Ваши персональные данные ! Оформляла ли организация Ваше письменное согласие на их обработку ?! Если нет – организация нарушает Закон № 152-ФЗ , а значит , топ-менеджмент этой организации – на грани привлечения к уголовной ответственности .
Среда обработки персональных данных , как и среда обработки информации , содержащей КТ и КИ , должна формироваться отдельно от сети общего доступа , при этом , как уже говорилось выше , изолировать эту сеть с помощью « воздушного зазора » не обязательно : достаточно установить промежуточный шлюз и выделить сеть обработки информации , содержащей КТ и КИ , в отдельную подсеть , ограничив в нее доступ . Этого будет вполне достаточно .
Дополнительным средством контроля правильности обработки информации , содержащей КТ и КИ ( включая персональные данные сотрудников предприятия , его контрагентов и партнеров , а также обладателей временных пропусков ), может стать специализированный программный комплекс . В случае работы его в сети , имеющей доступ в Интернет , возможности таких комплексов расширяются : под контроль может быть поставлен интернет-серфинг сотрудников , доступ в облачные хранилища ( как загрузка , так и выгрузка файлов ), общение на различных интернет-форумах .
На предприятии должен быть внедрен проведен комплекс организационно-технических мероприятий и сформирована схема обработки информации , содержащей КТ и КИ , включающий в себя следующие мероприятия , компоненты и разделы :
принятие документов , описывающих , какая информация , принадлежащая предприятию , является КТ и КИ ( обязательно включая персональные данные сотрудников предприятия , его контрагентов и партнеров );
утверждение внутреннего регламента обработки информации , содержащей КТ и КИ , начиная со сканирования документов ( ввода информации ), описывающего процесс обработки ( кто имеет доступ к документам , содержащим КТ и КИ , как обрабатывается информация – с помощью каких программных и аппаратных средств , где хранится ) и заканчивая исчерпывающим списком печатающих устройств , на которых разрешена распечатка информации , содержащей КТ и КИ ;
утверждение внутренних документов , разработанных отделами информационных технологий и информационной безопасности , регламентирующих права доступа к информации , содержащей КТ и КИ , в зависимости от должностей сотрудников предприятия ;
использование специализированных возможностей стандартных системных программных средств ( например – средств домена Microsoft Windows или средства LDAP / NFS в * nix-подобных системах ) для создания схем разграничения доступа к файлам и принтерам ;
внедрение специализированных программных комплексов мониторинга работы пользователей , использования съемных устройств и устройств печати с элементами DLP-систем , то такой подход позволит полностью перекрыть утечки информации , содержащей КТ и КИ , и гарантирует , что каких-либо претензий к топ-менеджменту предприятия со стороны Уголовного и Гражданского кодексов не будет .
Наконец , третий , не мене важный аспект безопасной жизни топ-менеджмента предприятия – это юридическое обеспечение систем мониторинга и контроля . Очевидно , что использование любых средств контроля и мониторинга , будь то система охранного телевидения ( обычно называемая « видеонаблюдение ») или система контроля управления доступом ( СКУД ), не говоря уж о специализированных программных комплексах мониторинга , может быть интерпретировано неким ушлым амбициозным адвокатом как вмешательство в личное пространство сотрудника ( читатель , это не шутка , автор сталкивался с подобными « предъявами »!) Соответственно , может появиться « тема » для выдвижения претензий ( в том числе и через суд ) предприятию , а отвечать от имени предприятия будет , соответственно , топ-менеджмент !
Как этого избежать и гарантировать отсутствие подобных претензий в будущем , а желательно – навсегда ?!
А очень просто . Мы же в России живем , а значит , проблему мониторинга работы сотрудника можно « вывернуть мехом внутрь » таким образом , что ни к предприятию , ни , соответственно , к топ-менеджменту абсолютно никаких претензий не будет . Следите за руками , как говорится
Правда , нам придется сделать одно существенное допущение , а именно : все сотрудники предприятия , работу которых мы хотим контролировать , для исполнения своих должностных обязанностей используют оборудование , предоставленное им работодателем и находящееся на его балансе . Если сотрудники используют оборудование , принадлежащее им лично ( например , ноутбуки ) – увы , законно без письменного согласия сотрудников контролировать их работу не получится в принципе .
Ну как , догадались ?!
Совершенно верно ! Мы будем контролировать не деятельность сотрудника , не его переписку по электронной почте , интернет-серфинг , общение в интернет-мессенджерах и интернет-форумах , чтение им электронных книг , скачивание файлов из сети Интернет и так далее , а ИСПОЛЬЗОВАНИЕ СОТРУД- НИКОМ НЕ ПРИНАДЛЕЖАЩЕГО ЕМУ ОБОРУДОВАНИЯ , на котором сотрудник работает ! Оборудование принадлежит работодателю , а значит , работодатель имеет право контролировать , не использует ли сотрудник оборудование таким образом , что работодателю может быть нанесен вред .
Собственно , все . Осталось только подобрать грамотную формулировку ( ниже будет приведен шаблон , который можно использовать . Точную формулировку для каждого конкретного предприятия подскажут сотрудники юридического отдела . Вносим ее в коллективный ( так обычно бывает на государственных предприятиях и предприятиях с государственным участием , а также там , где есть профсоюзные организации ) или в индивидуальный трудовой договор сотрудника – и задача решена . Если договор был уже заключен – правильным будет оформить специальное дополнительное соглашение .
А шаблон может выглядеть следующим образом :
« Работодатель имеет право контролировать использование оборудования , предоставленного работодателем работнику для выполнения им своих должностных обязанностей , в том числе и с использованием технических и программных средств контроля ».
Система охранного телевидения (« видеонаблюдение »), СКУД – это технические средства контроля . Любые программные комплексы – соответственно , программные . Если сотрудником этот пункт подписан – значит , и видеонаблюдение , и СКУД , и использование программных комплексов мониторинга работы пользователей на предприятии легализованы , соответственно , с этой стороны никаких претензий к топ-менеджменту предприятия быть не может .
Итак , мы рассмотрели три основных направления в информационной деятельности предприятия , со стороны которых ( в случае пренебрежения ими ) у топ-менеджмента предприятия могут быть проблемы , вплоть до соответствующих статей Уголовного кодекса Российской Федерации . Но если топ-менеджмент будет следовать рекомендациям , приведенным нами , он может и работать , и спать совершенно спокойно .
Работайте безопасно !
ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 г . № 152-ФЗ « О ПЕРСОНАЛЬНЫХ ДАННЫХ » Статья 1 . Сфера действия настоящего Федерального закона 1 . Настоящим Федеральным законом регулируются отношения , связанные с обработкой персональных данных , осуществляемой федеральными органами государственной власти , органами государственной власти субъектов Российской Федерации , иными государственными органами ( далее – государственные органы ), органами местного самоуправления , иными муниципальными органами ( далее – муниципальные органы ), юридическими лицами и физическими лицами с использованием средств автоматизации , в том числе в информационно-телекоммуникационных сетях , или без использования таких средств , если обработка персональных данных без использования таких средств соответствует характеру действий ( операций ), совершаемых с персональными данными с использованием средств автоматизации , то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных , зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных , и ( или ) доступ к таким персональным данным .
К конфиденциальной информации относятся также персональные данные