В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.
Защита информации при работе с ЭВМ
Утечка конфиденциальной информации от персональных ЭВМ может происходить по следующим каналам:
· организационному каналу через персонал, злоумышленника, его сообщника, силовым криминальным путем,
· побочных электромагнитных излучений от ЭВМ и линий связи,
· наводок злоумышленником опасного сигнала на линии связи, цепи заземления и электропитания,
· акустических сигналов,
· через вмонтированные радиозакладки, съема информации с плохо стертых дискет, ленты принтера.
Основным источником высокочастотного электромагнитного излучения является дисплей. Картинку дисплея можно уловить и воспроизвести на экране другого дисплея на расстоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через соединительные провода. Однако основным виновником утраты электронной информации всегда является человек.
Защита данных должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ЭВМ (надежность, быстродействие).
Организация системы защиты информации включает:
· защиту границ охраняемой территории,
· защиту линий связи между ЭВМ в одном помещении,
· защиту линий связи в различных помещениях, защиту линий связи, выходящих за пределы охраняемой зоны (территории).
Защита информации включает ряд определенных групп мер:
· меры организационно-правового характера: режим и охрана помещений, эффективное делопроизводство по электронным документам – внемашинная защита информации, подбор персонала,
· меры инженерно-технического характера: место расположения ЭВМ, экранирование помещений, линий связи, создание помех и др.,
· меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе, кодирование информации, вводимой в ЭВМ,
· меры аппаратной защиты: отключение ЭВМ при ошибочных действиях пользователя или попытке несанкционированного доступа.
Помещения, в которых происходит обработка информации на ЭВМ, должны иметь аппаратуру противодействия техническим средствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты.
Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов:
· управления доступом;
· регистрации и учета;
· криптографической;
· обеспечения целостности.
Правильная организация доступа - управление доступом к конфиденциальной информации является важнейшей составной частью системы защиты электронной информации. Реализация системы доступа как к традиционным, так и электронным документам основывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей (сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые обращались к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне фирмы.
Организуя доступ сотрудников фирмы к конфиденциальным массивам электронных документов и базам данных, необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части доступа этого вида:
· доступ к персональному компьютеру, серверу или рабочей станции;
· доступ к машинным носителя информации, хранящимся вне ЭВМ;
· непосредственный доступ к базам данных и файлам.
Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:
· определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;
· регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);
· организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;
· организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;
· организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;
· организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.
Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.
Перед началом обработки информации на ЭВМ сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея должен быть немедленно погашен.
В конце рабочего дня исполнители обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу КД. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов.
Лицам, имеющим доступ к работе на ЭВМ, запрещается:
· разглашать сведения о характере автоматизированной обработки конфиденциальной информации и содержании используемой для этого документации,
· знакомиться с изображениями дисплея рядом работающих сотрудников или пользоваться их магнитными носителями без разрешения руководителя подразделения,
· разглашать сведения о личных паролях, используемых при идентификации и защите массивов информации,
· оставлять магнитные носители конфиденциальной информации без контроля, принимать или передавать их без росписи в учетной форме, оставлять ЭВМ с загруженной памятью бесконтрольно,
· пользоваться неучтенными магнитными носителями, создавать неучтенные копии документов.
После изготовления бумажного варианта документа его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями.
Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность иххищения, приведения в негодность или уничтожения содержащейся в них информации, а также в соответствии с техническими условиями завода-изготовителя. Носители хранятся в вертикальном положении в специальных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответствовать учетным номерам носителей. Недопустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений.
Магнитные носители, содержащие конфиденциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных формах.
С целью контроля и поддержания режима при обработке информации на ЭВМ необходимо:
· периодически проводить проверки наличия электронных документов и состава баз данных,
· проверять порядок ведения учета, хранения и обращения с магнитными носителями и электронными документами,
· систематически проводить воспитательную работу с персоналом, осуществляющим обработку конфиденциальной информации на ЭВМ,
· реально поддерживать персональную ответственность руководителей и сотрудников за соблюдение требований работы с конфиденциальной информацией на ЭВМ,
· осуществлять действия по максимальному ограничению круга сотрудников, допускаемых к обрабатываемой на ЭВМ конфиденциальной информации и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации.