Следовательно, подготовка и проведение совещаний и переговоров по конфиденциальным вопросам, оформление их результатов связаны с выполнением ряда обязательных процедур, необходимых для правильной организации работы устроителей и участников этих мероприятий. При несоблюдении изложенных требований возникает серьезная опасность разглашения или утечки ценных сведений и секретов фирмы, ее партнеров и клиентов. Контроль за выполнением этих требований возлагается на референта, который обеспечивает информационную безопасность деятельности фирмы, сохранение ее деловых и производственных секретов.

2. Защита информации в работе кадровой службы

Работа службы персонала, управления или отдела кадров, менеджера по персоналу, иногда, в некрупных фирмах, секретаря-референта (далее — отдела кадров) связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны т. е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи не тождественна личной тайне по составу защищаемых сведений. Например, к семейной тайне относятся: тайна усыновления, тайна отцовства, тайна наследственного заболевания и др.

Под персональными данными (информацией о гражданах) понимается любая документированная информация, относящаяся к конкретному человеку. Персональные данные идентифицируют его личность. Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Держатели персональных данных — органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными. Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.

Персональные данные всегда относятся к категории конфиденциальной информации. Не допускаются сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75лет срока их хранения, если иное не определено законом.

В целях выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделим две большие группы документации: а) документация по организации работы отдела и б) документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.

Первая группа документации содержит организационно-правовую документацию отдела кадров и включает: положение об отделе, должностные инструкции работников отдела, приказы, распоряжения, указания руководства фирмы, регламентирующие структуру отдела и распределение сфер ответственности между его работниками, рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т. п.). Сюда относятся также дела с документацией по планированию, учету, анализу и отчетности в части основной деятельности отдела. Учитывая значительное своеобразие в формировании статуса отдела и организации основных процессов, сопровождающих его деятельность в различных фирмах, конфиденциальный характер этой группы документации определяется тем, что злоумышленник может извлечь из анализа этой документации в конкретной фирме следующие полезные для себя сведения:

• распределение функций между отделом кадров и планово-финансовым отделом, бухгалтерией, юридическим отделом, военно-учетным столом и другими подразделениями, т. е. сведения о том, где искать требуемую информацию;

• распределение функций внутри отдела кадров между структурными единицами отдела (группами, секторами) и между работниками, т. е. сведения о том, у кого искать требуемую информацию;

• регламентацию рабочего процесса по оформлению документации, пропусков, удостоверений, т. е. сведения о том, как можно воспользоваться этим в несанкционированном режиме для фальсификации документов, баз данных;

• регламентацию места хранения документов, дел, баз данных, т. е. сведения о том, где и как можно украсть или подменить тот или иной документ, получить требуемую информацию;

• регламентацию отчетной и справочной работы, т. е. сведения о том, когда и как можно перехватить требуемую информацию по организационным или техническим каналам.

Любые посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников этого отдела.

Вторая группа — документация, образующаяся в процессе основной деятельности отдела кадров и содержащая персональные данные, включает:

• комплекты документов, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т. п.);

• комплекты материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;

• подлинники и копии приказов по личному составу;

• личные дела и трудовые книжки сотрудников;

• дела, содержащие основания к приказам по личному составу;

• дела, содержащие материалы аттестации сотрудников, служебных расследований и т. п.;

• справочно-информационный банк данных по персоналу — учетно-справочный аппарат (картотеки, журналы, базы данных и др.);

• подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;

• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

Главным моментом в защите персональных и иных конфиденциальных данных является четкая регламентация функций работников отдела кадров и в соответствии с этим — регламентация принадлежности работникам документов, дел, карточек, журналов персонального учета и баз данных.

Для реализации этого положения руководитель фирмы должен издать приказ или распоряжение о закреплении за работниками отдела определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях этих работников, утвердить схему доступа работников отдела кадров и руководящего состава фирмы, структурных подразделений к документам отдела, ввести личную ответственность перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела. Целесообразно, в целях разграничения доступа и разбиения знания персональных данных между работниками, закрепить за разными работниками:

а)документирование оформления трудовых правоотношений (приема, перевода, увольнения и др.);

б)ведение личных дел и трудовых книжек;

в)составление и хранение приказов по личному составу и контрактов;

г)ведение справочно-информационного банка данных.

Распределение сфер деятельности может варьироваться в зависимости от объема работы и штатной численности работников отдела, но разграничение обязанностей и массивов документации должно быть обязательно. Это позволит построить работу отдела в соответствии с указанными выше основополагающими принципами и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение начальника отдела кадров, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных. Важно, что в этом распоряжении фиксируется изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциальность документации.

В сферу ответственности работника, осуществляющего ведение личных дел, входит работа с трудовыми книжками сотрудников фирмы. Трудовые книжки всегда хранятся отдельно от личных дел. Особое внимание обращается на учет в бухгалтерии и отделе кадров чистых бланков книжек и бланков листов-вкладышей. Начальник отдела должен строго контролировать, чтобы подчиненные ему работники не оформляли трудовые книжки на неучтенных бланках (купленных и, как правило, поддельных). Под особым контролем должны находиться операции по проставлению в трудовых книжках печатей и штампов. Целесообразно, чтобы эти операции производил только начальник отдела кадров, так как в противном случае может возникнуть опасность несанкционированного использования печатей и штампов.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу фирмы (картотеками, журналами и книгами персонального учета сотрудников). Этот банк содержит основную, концентрированную массу ценных сведений о сотрудниках. Множество применяемых традиционных учетных форм осложняет обеспечение их конфиденциальности. Однако переход на автоматизированный тип этого банка создает другие сложности, связанные с необходимостью ведения комплектов страховых и резервных машиночитаемых и бумажных копий, включенных в банк учетных форм. Конфиденциальными при любом типе банка являются накопительные ведомости, записи в промежуточных рабочих формах, которые ведутся работником отдела кадров для последующего одноразового внесения в учетные формы. Доступ работников отдела к справочно-информационному банку данных должен быть ограничен и определяться их служебными обязанностями. Разовое ознакомление с учетной карточкой какого-либо сотрудника разрешает начальник отдела кадров.

В часы приема посетителей работники отдела не должны выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя. В помещении отдела кадров в часы приема посторонних лиц может находиться работник службы безопасности фирмы. Целесообразно также наличие сигнализации, оповещающей сотрудников этой службы о необходимости немедленно вмешаться в сложившуюся ситуацию. На столе работника отдела не должно быть тяжелых предметов.

Прием посетителей чаще всего связан с ведением справочной работы: ответов на вопросы посетителей и выдачей им справок.

Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается передача персональной информации по телефону. Ответы на письменные запросы других учреждений, фирм и организаций даются в письменной форме, на бланке фирмы или отдела кадров и в том объеме, который позволяет не разглашать излишний объем персональных сведений.

При выдаче справки с места работы необходимо удостовериться в личности сотрудника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка. Справка выдается на основании учетной карточки Т-2, а не пропуска, так как сотрудник при увольнении мог не сдать пропуск или удостоверение. Справку подписывает начальник отдела кадров. На подпись справку передает работник отдела, а не посетитель. Одновременно начальник отдела ставит на справке печать. За получение справки сотрудник предприятия расписывается в журнале учета выдачи справок.

Чистые бланки справок подлежат обязательному учету. Они хранятся у начальника отдела кадров и выдаются в дневной норме работнику, выдающему справки. По окончании приемных часов этот работник отчитывается перед начальником отдела об израсходованных бланках справок и сдает ему оставшиеся чистые и испорченные бланки. Заранее ставить на чистых бланках справок подпись начальника отдела и печать не допускается.

В целях удобного доступа посетителей в отдел кадров помещения отдела должны располагаться на первом этаже здания, поблизости от входа. В часы приема лиц, не являющихся сотрудниками предприятия, вход в отдел должен быть свободным для всех желающих. Проход посторонних лиц в помещение отдела контролируется сотрудником службы безопасности: посетитель идентифицируется по паспорту или служебному удостоверению, при необходимости посетителя провожают. Не допускается бесконтрольное нахождение посторонних лиц в здании фирмы.

Отдел кадров должен иметь три смежных помещения: комнату для работников отдела, кабинет начальника отдела и помещение, в котором размешаются шкафы и сейфы для документов, дел и картотек. Вход в отдел кадров может быть только один. Для ожидающих приема посетителей целесообразно выделить дополнительное помещение за пределами основных помещений отдела. Помещение для размещения шкафов может не иметь окон и оборудуется эффективными техническими средствами пожаротушения. Все помещения оборудуются охранной сигнализацией.