В казну.ру Бухгалтерский учет в бюджетных учреждениях

Кража личности - неужели такое возможно?

“Кадровик. Кадровое делопроизводство“, 2008, N 6


КРАЖА ЛИЧНОСТИ - НЕУЖЕЛИ ТАКОЕ ВОЗМОЖНО?


Анализ случаев нарушения внутренней информационной безопасности в организации позволяет выявить ошибки, которые привели пострадавшие компании к потере конфиденциальных сведений и несанкционированному разглашению персональных данных сотрудников. В данной статье приводятся результаты исследования аналитического центра InfoWatch, опубликованного в журнале Information security <1>. Проанализированы 145 утечек конфиденциальной информации, персональных данных работников, случаев саботажа и других нарушений внутренней информационной безопасности, а также их последствия для организаций и граждан.

--------------------------------
<1> Доля А. Инциденты внутренней ИТ-безопасности: итоги года // “Информационная безопасность“, N 2 - 2007, с. 26 - 29.

В 2004 г. аналитический центр InfoWatch компании приступил
к формированию базы инцидентов, свидетельствующих об утечке конфиденциальных или персональных данных, случаи саботажа или халатности служащих, упоминавшиеся в СМИ. Анализируемая в статье база содержит около 500 записей, которые послужили исходными данными для исследования. Малый бизнес и огромные корпорации, коммерческие фирмы и государственные учреждения - все эти организации зафиксировали массу утечек информации, которые поставили под угрозу даже безопасность таких сильных и защищенных структур, как военные ведомства и спецслужбы. Например, в США 3 мая 2006 г. из дома сотрудника Министерства по делам ветеранов преступники похитили жесткий диск. В результате в руках недоброжелателей оказались персональные данные 26,5 млн ветеранов и 2,2 млн действующих военнослужащих. А в августе 2006 г. произошла крупная утечка в Британии. Неизвестные проникли в дом одного из сотрудников Nationwide Building Society и украли ноутбук с незашифрованной информацией о клиентах компании. Под угрозу кражи личности попали 11 млн человек. Компания Nationwide сразу известила полицию, но оперативные розыскные мероприятия ничего не дали. Спустя 3 месяца компания начала рассылать уведомления потерпевшим.

Мобильные устройства, Интернет, халатность служащих, умышленная кража информации - вот основные каналы несанкционированной передачи конфиденциальных сведений и персональных данных.

Словарь кадрового делопроизводства. Информационная безопасность - защищенность жизненно важных интересов личности, организации, общества и государства от преднамеренных или непреднамеренных воздействий в той или иной форме (информационная блокада, информационная интервенция, информационная война, дезинформация и др.). Суть информационной безопасности персональных данных работников организации - обеспечение сохранности информационных ресурсов и защищенность законных прав личности.

Кража личности (от англ. identity (личность), theft (кража)) - это мошенничество с целью кражи денег или получения других выгод от несанкционированного доступа, владения, передачи и/или
использования персональных данных гражданина. Термин появился относительно недавно, и по сути, обозначает незаконное овладение информацией о личности (человеке) с целью ее использования в корыстных целях. Человек, чья персональная информация используется таким образом, может впоследствии пострадать от действий злоумышленника.

В ходе анализа удалось выяснить, что 66% случаев утечки сведений пришлось на частные предприятия. От утечек персональной информации может пострадать огромное количество граждан - только от полутора сотен рассмотренных инцидентов возможна угроза кражи личности более 80 млн человек.

Каждая утечка конфиденциальной информации и персональных данных сотрудников может обернуться большими убытками для компании: помимо финансового ущерба непоправимо ухудшается репутация компании, под угрозой кражи личности оказываются сотни тысяч людей. Статистика говорит о том, что от каждой утечки персональных данных в 2006 г. пострадало в 2 раза больше человек, чем от потери коммерческих секретов (рис. 1).

Пострадавшие от утечки персональных данных и коммерческих
секретов (чел.)

Персональные ¦
данные +-----------------------------------¬
(среднее число ¦ ¦ 785 568
пострадавших) +------------------------------------
¦
Коммерческие ¦
секреты +-------------¬
(общее число ¦ ¦ 294 794
пострадавших) +--------------
+-----------------------------------------------------
0 200 000 400 000 600 000 800 000 1 000 000

Организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска. Именно использование мобильных устройств в половине всех инцидентов (50%) привело к утечке информации, в то время как Интернет использовался в качестве канала утечки всего в 12% случаев.

Но наибольшую опасность для информационной безопасности организации представляют безалаберные сотрудники. По причине халатности в 2006 г. произошло подавляющее большинство (77%) всех утечек. И инсайдеры могут найтись в любом коллективе!

Словарь кадрового делопроизводства. Применительно к проблемам информационной безопасности организации инсайдер (от англ. insider) - это сотрудник организации, имеющий в силу своих должностных полномочий доступ к конфиденциальным сведениям и жизненно важным ресурсам ее системы. Инсайдеры из злоумышленных намерений, некомпетентности или халатности нарушают конфиденциальность информации, крадут ее или искажают; крадут базы данных, программные продукты, оборудование и совершают др. противоправные действия в отношении конфиденциальной информации и персональных данных сотрудников.

Социальная инженерия - совокупность подходов в прикладных социальных науках, ориентированных на изменение поведения и установок людей, на разрешение социальных проблем, на адаптацию социальных институтов к изменяющимся условиям, а также на сохранение социальной активности.

На рис. 2 представлено распределение случаев нарушения информационной безопасности организаций государственного и коммерческого секторов.

Утечки в государственном и частном секторах

66%
--------¬
¦ ¦
34% ¦ ¦
--------¬ ¦ ¦
¦ ¦ ¦ ¦
¦ ¦ ¦ ¦
¦ ¦ ¦ ¦
----+-------+----+----+-------+----
Инцидентное Инцидентное
в государственных в коммерческих
структурах организациях

Рис. 2

По рис. 2 видно, что на долю частных предприятий приходится в 2 раза больше утечек, случаев саботажа и других инцидентов, чем на госструктуры. Это можно объяснить тем, что количество частных организаций значительно превышает число государственных и госструктурам легче скрыть факт утечки. Ведь нередко именно регулирующий орган допускает потерю конфиденциальной
информации. Например, так произошло в налоговом управлении США, которое в ноябре 2006 г. сообщило о пропаже почти 500 ноутбуков за последние 4 года.

Инсайдеры крадут любую конфиденциальную информацию. Хотя интеллектуальная собственность, коммерческие и промышленные секреты представляют собой несомненную ценность, именно персональные данные работников чаще всего становятся добычей инсайдеров (рис. 3).

Объекты утечек

81%
--------¬
¦ ¦
¦ ¦
¦ ¦
19% ¦ ¦
--------¬ ¦ ¦
¦ ¦ ¦
¦
----+-------+----+----+-------+----
Другая информация Персональные
данные

Рис. 3

Исследование однозначно показывает, что в результате хищения персональных данных страдает несравнимо большее количество людей. На рис. 3 сравниваются суммарное количество пострадавших от утечек за весь 2006 г. и среднее число жертв каждой утечки персональных данных.

Наиболее важный вопрос - как именно информация утекает чаще всего. Исследование показало, что наибольшее количество утечек (50%) произошло через мобильные устройства (ноутбуки, КПК, USB-флэшки, CD- и DVD-диски и др.). Компактность мобильных устройств, кроме всех очевидных преимуществ, имеет и один менее заметный недостаток в отношении защиты информации. Такое устройство, как ноутбук, КПК или флэш-карта, очень легко потерять или спрятать. Вследствие непреднамеренной потери носителя информации конфиденциальные данные попадают к неизвестным людям, которые распоряжаются ими по своему усмотрению. В то же время внутренние нарушители легко могут спрятать маленький носитель и вынести данные с рабочего места. Второй по распространенности канал утечек - это Интернет (12%). Интернет не так популярен, поскольку не позволяет быстро передавать объемы данных, доступные мобильным носителям. Кроме того, при использовании сетевой фильтрации достаточно легко поймать инсайдера и доказать его вину. 5% инцидентов произошло через неправильно утилизированные или утерянные резервные носители. По 3% пришлось на электронные послания и факсы, а также на почту; 17% инцидентов внутренней ИБ произошли по другим каналам, например утечка вследствие аутсорсинга неблагонадежному партнеру. В 10% случаях не удалось выяснить, каким образом была украдена информация.

Комментарии экспертов.

Олег Смолий, главный специалист
Управления по обеспечению безопасности Внешторгбанка
Для коммерческой организации, на мой взгляд, потеря репутации является самой страшной угрозой. Дело в том, что доброе имя нельзя создать в короткий срок, даже имея очень много денег. Организации тратят годы на то, чтобы сделать свою торговую марку узнаваемой, развивают лояльность к своей марке со стороны клиентов. Между тем всего одна утечка может разом перечеркнуть долгие годы усилий.

Денис Зенкин, директор по маркетингу компании InfoWatch
Большинство утечек в базе инцидентов InfoWatch относятся к США, где значительно более развиты финансовые институты, кредитная система и т.д. Поэтому в США так остро стоит проблема кражи личности. То есть в результате простой утечки персональных данных граждане могут остаться без банковских накоплений. В России все совсем по-другому. На утечку приватных сведений мы реагируем болезненно, но финансовых проблем это нам не доставляет. А вот кража коммерческой информации - это очень серьезная угроза для современных организаций. Возможно, Закон “О персональных данных“ заставит российский бизнес относиться с уважением и к приватным сведениям граждан, но пока что организации озабочены защитой только конфиденциальной коммерческой или промышленной информации.

Илья Шабанов, ведущий маркетинговый аналитик “Лаборатории Касперского“
Большое количество происходящих сегодня внутренних инцидентов вызвано тем, что лишь немногие организации используют средства защиты от утечек информации. Почему это происходит? Скорее всего, потому что сегодня еще не сформировался единый и общепризнанный подход к тому, как надо защищаться от утечек, какие меры и технологии использовать. В результате на рынке появилось довольно много самых разных решений, каждое из которых имеет свои плюсы, но совсем не похоже на решения конкурентов. Поэтому компаниям сложно выбрать поставщика и запланировать бюджет.
Тем не менее через несколько лет ситуация должна стабилизироваться. Я уверен, что узкоспециализированные канальные решения “вымрут“, так как нет никакого смысла защищать только электронную почту или Интернет, включая средство защиты от утечек в антивирусные и антиспам-фильтры. Будущее, несомненно, за комплексными и интегрированными решениями, которые сфокусированы только на защите от утечек и покрывают абсолютно все каналы.

Вячеслав Лупанов, руководитель отдела системного ПО HELiOS IT-OPERATOR
Огромное количество утечек указывает на то, что предприятия либо игнорируют проблему утечек информации, либо защищаются, но очень слабо. Между тем это выглядит по меньшей мере самонадеянно. Если говорить о крупном российском бизнесе, то здесь ситуация немного лучше. Многие организации уже озаботились проблемой защиты от утечек, их процент постоянно растет. Я думаю, что со временем средства внутренней ИБ превратятся из диковинки в стандартные компоненты ИТ-инфраструктуры.

Корыстные инсайдеры - лишь одна из категорий недобросовестных работников, по чьей вине происходит потеря конфиденциальной информации. Исследование показывает (рис. 4), что по вине безалаберных сотрудников происходит значительно больше утечек (77%).

Причины утечки конфиденциальной информации и персональных
данных в организациях


77%
--------¬
¦ ¦
23% ¦ ¦
--------¬ ¦ ¦
¦ ¦ ¦ ¦
¦ ¦ ¦ ¦
----+-------+----+----+-------+----
Злой умысел Халатность

Рис. 4

Главная причина таких инцидентов - невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Кроме того, случается, что люди сами не знают, что являются инсайдерами, и поставляют конфиденциальную информацию недоброжелателям, которые манипулируют ими с помощью методов социальной инженерии. Эти результаты лишний раз подчеркивают, что инсайдеры могут быть в любом коллективе.

В настоящее время руководители компаний, их информационных служб и отделов по работе с персоналом уже обратили внимание на бреши в системах защиты информации, которые позволяют конфиденциальным сведениям легко покидать периметр организации. Остается лишь найти лучшее решение и внедрить необходимую защиту. В приложениях к статье читатели найдут примерный текст типового Положения “О защите персональных данных работников“ (приложение N 1), а также пример бланка подписного листа к Положению “О защите персональных данных работников“ (приложение N 2) и обязательства о неразглашении персональных данных работников (приложение N 3).

Приложение N 1

Положение о защите персональных данных работников

1. Общие положения


1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового кодекса РФ, Кодекса РФ об административных правонарушениях, Гражданского кодекса РФ, Уголовного кодекса РФ, а также Федерального закона “Об информации, информатизации и защите информации“.

1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

2. Понятие и состав персональных данных

2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят:

- анкетные и биографические данные;

- образование;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность;

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики.

2.3. Документы, указанные в п. 2.2. настоящего Положения, являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.


3. Обработка персональных данных


3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.

3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.

3.2.4. Персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.

3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:

- бухгалтерии;

- сотрудники службы управления персоналом;

- сотрудники компьютерных отделов.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.

3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4. Доступ к персональным данным

4.1. Внутренний доступ (доступ внутри организации).

4.1.1. Право доступа к персональным данным сотрудника имеют:

- генеральный директор организации;

- руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

- при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

- сам работник, носитель данных;

- другие сотрудники организации при выполнении ими своих служебных обязанностей.

4.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом генерального директора организации.

4.2. Внешний доступ.

4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:

- налоговые инспекции;

- правоохранительные органы;

- органы статистики;

- страховые агентства;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения муниципальных органов управления;

4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

4.2.4. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия (УК РФ).

5. Защита персональных данных

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица.

5.3. Защита персональных данных представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральными законами.

5.5. “Внутренняя защита“.

5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.

5.5.2. Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

- организация порядка уничтожения информации;

- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

- не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, - руководителю структурного подразделения (например, при подготовке материалов для аттестации работника).

5.5.3. Защита персональных данных сотрудника на электронных носителях.

Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий.

5.6. “Внешняя защита“.

5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

5.6.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- порядок приема, учета и контроля деятельности посетителей;

- пропускной режим организации;

- учет и порядок выдачи удостоверений;

- технические средства охраны, сигнализации;

- порядок охраны территории, зданий, помещений, транспортных средств;

- требования к защите информации при интервьюировании и собеседованиях.

5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8. По возможности персональные данные обезличиваются.

5.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6. Права и обязанности работника

6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

6.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

- требовать исключения или исправления неверных или неполных персональных данных;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

- персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;

- определять своих представителей для защиты своих персональных данных;

- на сохранение и защиту своей личной и семейной тайны.

6.4. Работник обязан:

- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.

- своевременно сообщать работодателю об изменении своих персональных данных.

6.5. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

6.6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.


7. Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными


7.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

7.5.3. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Приложение N 2

Подписной лист
к Положению “О защите персональных данных работников“

С Положением “О защите персональных данных работников“ ________________
(название
___________________________________________________ ознакомлен(а).

организации с учетом организационно-правовой формы)

Фамилия И.О. _______________________________________ _____________
(наименование должности работника, (роспись)
который ознакомлен с текстом Положения)

“__“ _____________ 20__ г.

Приложение N 3

Обязательство
о неразглашении персональных данных работников

Я, ____________________________________________________________________
(Фамилия Имя Отчество)
______________________________________, обязуюсь не разглашать персональные
(наименование должности
и подразделения)
данные работников, ставшие мне известными в связи с исполнением своих
должностных обязанностей.

Об ответственности за разглашение персональных данных работников
предупрежден(а).

Фамилия И.О. _______________________________________ _____________
(наименование должности работника, (роспись)
который ознакомлен с текстом Положения)

“__“ _____________ 20__ г.

А.Доля
Руководитель
аналитического центра InfoWatch

Подписано в печать
25.05.2008