Безопасность информации в кадровой службе

Е. Степанов.
доцент Государственного университета управления

В соответствии с требованиями главы 14 Трудового кодекса процесс защиты персональных данных в кадровой службе должен быть строго регламентирован. Именно регламентация организационных форм и технологии документирования, обработка персональных данных и неукоснительное соблюдение всеми руководителями и работниками этих требований лежат в основе обеспечения надежной защиты персональных данных и, следовательно, обеспечения реальных прав и свобод граждан в трудовой сфере.

Каждый сотрудник фирмы должен быть индивидуально письменно информирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Наиболее правильно подобную информацию включать в трудовой договор с работником, т.к. одноразовые получения разрешений будут отнимать много времени. Работник имеет право не разрешить использовать свои персональные данные.

Порядок работы с кадровой документацией должен в полном объеме соответствовать требованиям обращения с конфиденциальными документами.

Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы первым руководителем фирмы должен быть издан приказ о закреплении за каждым работником этой службы определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях.

Одновременно должна быть утверждена схема доступа работников службы и руководящего состава фирмы, структурных подразделений к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Под особым контролем должны находиться операции по проставлению в трудовых книжках, на справках и других документах печатей и штампов. Целесообразно, чтобы эти операции производились только руководителем кадровой службы, т.ч. в противном случае может возникнуть опасность несанкционированного использования печатей и штампов. Одновременно руководитель службы контролирует правильность оформления документов.

Чистые бланки справок подлежат обязательному учету. Они хранятся у руководителя кадровой службы и выдаются в дневной норме работнику, выдающему справки. По окончании приемных часов этот работник отчитывается перед руководителем службы об израсходованных бланках справок и сдает ему оставшиеся чистыми и испорченные бланки. Проставлять печати и штампы, а иногда и росписи на чистых бланках документов категорически запрещается.

При автоматизированной обработке кадровой информации не рекомендуется данную систему (связанные автоматизированные рабочие места кадровой службы) включать в локальную сеть фирмы.

В кадровой службе локальная сеть (или единичные компьютеры) должна быть снабжена необходимыми средствами программно-аппаратной и криптографической защиты информации, регламентирована жесткой системой разграничения доступа работников службы к обрабатываемой и хранимой информации. В локальную сеть может быть включена рабочая станция (автоматизированное рабочее место) первого руководителя фирмы.

Дела, папки с документами, картотеки, машиночитаемые документы, учетные журналы и книги учета хранятся в кадровой службе в рабочее и нерабочее время в металлических постоянно запертых шкафах. У каждого работника должен быть свой шкаф для хранения закрепленных за ним массивов документов. Трудовые книжки хранятся в сейфе руководителя кадровой службы, там же хранятся печати, штампы, бланки документов, ключи от рабочих шкафов работников.

Кадровая служба фирмы должна иметь минимально три смежных помещения: комнату для работников службы, кабинет руководителя службы и помещение, в котором размещаются шкафы и сейфы для документов, дел и картотек. Вход в кадровую службу может быть только один. Для ожидающих приема посетителей целесообразно выделить дополнительное помещение за пределами основных помещений службы.

Помещение для размещения шкафов может не иметь окон и оборудуется эффективными техническими средствами пожаротушения. Помещения, шкафы с документацией кадровой службы и компьютеры обеспечиваются охранной сигнализацией. Входная дверь кадровой службы должна быть двойной металлической, окна защищаются решетками. Если кадровая служба использует в работе компьютеры, то помещения службы должны быть оборудованы средствами защиты от технической разведки.

По окончании рабочего дня все двери (в том числе внутренние) запираются на надежные замки и опечатываются личной печатью руководителя кадровой службы. Электропитание помещений кадровой службы отключается на центральном щите в помещении охраны фирмы. Ключи от дверей в опечатанном руководителем службы пенале сдаются работнику охраны под роспись в специальном журнале. Оттиск печати обычно делается на пластилине, в специальной выемке, чтобы печать невозможно было снять острым предметом и затем восстановить.

Одновременно включается и проверяется надежность средств охранной сигнализации.

Сдача под охрану и вскрытие помещений кадровой службы разрешаются только ее руководителю, а в исключительных случаях - заместителю первого руководителя, отвечающему за работу с персоналом. Перед вскрытием проверяется сохранность и номера печатей, целостность замков и контрольного шнурка (нити).

При обнаружении каких-либо попыток проникновения в помещение оно не вскрывается. Составляется акт о выявленной попытке, одновременно об этом факте докладывается лично первому руководителю фирмы и руководителю службы безопасности. Дальнейшие действия санкционируются первым руководителем.

Вскрытие рабочих шкафов в отсутствии работника, отвечающего за хранящуюся там документацию, допускается руководителем кадровой службы в присутствии двух работников этой службы. О вскрытии составляется акт с обоснованием причины вскрытия. Акт подписывается указанными лицами. После выполнения необходимых действий шкаф запирается и опечатывается печатью руководителя кадровой службы.

При явке на рабочее место сотрудника, отвечающего за хранящуюся в шкафу документацию, им производится проверка наличия документов, дел и других материалов. Уборка помещения службы осуществляется под наблюдением руководителя кадровой службы.

При пожарах, авариях водопроводной и тепловой сети документация кадровой службы должна быть эвакуирована в безопасное место и обеспечена ее охрана. В условиях возникновения сложных экстремальных ситуаций (массовых стихийных бедствий, военных действий, террористических актов и других подобных событий) и отсутствия возможности эвакуировать чистые бланки трудовых книжек и вкладышей они уничтожаются по акту путем сожжения. В акте указывается только количество книжек и вкладышей, по возможности - их серии и номера.

В этих же условиях трудовые книжки работников могут быть выданы им под роспись в книге учета движения трудовых книжек и вкладышей к ним.

Вся остальная кадровая документация должна быть эвакуирована в первую очередь, а при отсутствии такой возможности - уничтожена (кроме дел с подлинниками приказов по личному составу и книги учета движения трудовых книжек и вкладышей к ним). Для эвакуации документов в кадровой службе постоянно должна находиться необходимая надежная тара (непромокаемые мешки, контейнеры, чемоданы). За кадровой службой заранее должна быть закреплена автомашина.

Организационные и технологические аспекты защиты персональных данных в кадровой службе могут найти  отражение в двух регламентирующих документах фирмы.

Прежде всего, должно быть разработано положение о персональных данных работников фирмы, в котором целесообразно четко определить конкретные обязанности руководителей и работников в части использования этих данных в служебных целях. Функциональные обязанности этих лиц следует связать с составом передаваемых им персональных данных. Пользование другими данными им не разрешается. Положение должно содержать схему распределения доступа к персональным данным, состав должностных лиц, дающих разрешение на ознакомление с ними и несущих за это ответственность.

Положением должна быть определена форма обязательства указанных лиц за сохранность персональных данных и их конфиденциальность. Одновременно регламентируется порядок ознакомления работников фирмы со своими персональными данными, документами и учетными формами, в которых эти данные фиксируются, порядок взаимоотношений кадровой службы и работника по поводу сбора, документирования, использования, актуализации, уничтожения и хранения его персональных данных.

Во-вторых, должна быть составлена инструкция, отражающая этапы, процедуры и методы традиционной или автоматизированной технологии обработки и хранения персональных данных, методы и средства документирования данных и формирования баз данных.

В частности, в инструкции следует закрепить технологическую цепочку составления и оформления приказов и иных кадровых документов, технологические процедуры и операции их хранения, регламентирован порядок формирования, ведения и хранения личных дел работников, ведения и хранения трудовых книжек работников.

Следует тщательно определить условия включения документов в личные дела, правила ведения описи документов личного дела, изъятия документов из личного дела, выдачи документов на рабочие места руководителей, проверки сохранности личных дел и документов личного дела.

Особое внимание в инструкции следует обратить на организацию и документирование процедур тестирования и анкетирования кандидатов на должность и работников, проведения собеседований и аттестации, порядка ознакомления этих лиц с материалами психологического отбора.

В инструкции должна быть определена технология формирования и ведения традиционных или автоматизированных справочно-информационных систем (картотек, журналов, баз данных), обеспечивающих поисковые, учетные и отчетные функции при работе сотрудников кадровой службы с персональными данными работников. Установлено, в какие документы и учетные формы следует ввести необходимые зоны и графы для отражения факта ознакомления работников со своими персональными данными.

Говоря о технологии защиты информации в кадровой службе, необходимо учитывать, что помимо операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей.

Важно, чтобы прием посетителей осуществлялся только в те часы, которые ежедневно выделяются для этой цели. В другое время в помещении кадровой службы не могут находиться посторонние лица, в том числе работники фирмы.

Целесообразно, чтобы приемные часы были разными для работников фирмы и лиц, не входящих в эту категорию. Подобное разграничение необходимо ввиду того, что в числе последней группы лиц может быть злоумышленник, который будет прослушивать переговоры работников фирмы, знакомиться с работниками, их привычками, чертами характера, что в последующем может стать основой для формирования канала несанкционированного доступа к ценной информации.

Прием посетителей должен быть организован таким образом, чтобы в помещении службы не было лиц, ожидающих приема. Не должны возникать так называемые «живые очереди». Лица, ожидающие приема, всегда подсознательно или умышленно прослушивают переговоры работника кадровой службы и посетителя. Злоумышленник может эти переговоры записывать с помощью диктофона или миниатюрной видеокамеры.

Ответы на вопросы даются только лично тому лицу, которого они касаются.

При выдаче справки с места работы необходимо удостовериться в личности работника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка. Справка выдается на основании учетной карточки 1-2, а не пропуска, т.к. работник при увольнении мог не сдать пропуск или удостоверение. Заполненный бланк справки подписывается руководителем кадровой службы. Передает справку на подпись работник службы, а не посетитель. Одновременно руководитель службы ставит на справке печать. За получение справки работник фирмы расписывается в журнале учета выдачи справок.

Ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения первого руководителя фирмы и только в письменной форме и том объеме, который позволяет не разглашать излишний объем персональных сведений. По возможности персональные данные обезличиваются.

В помещении кадровой службы в часы приема посторонних лиц может находиться работник службы безопасности организации, фирмы. Целесообразно также наличие сигнализации, оповещающей работников этой службы о необходимости немедленно вмешаться в сложившуюся ситуацию. На столе работника кадровой службы не должно быть тяжелых предметов: подставок под календарь, пепельниц и т. п.

В целях удобного доступа посетителей в кадровую службу помещения службы должны располагаться на первом этаже, поблизости от входа в здание. В часы приема лиц, не являющихся работниками фирмы, вход в отдел должен быть свободным для всех желающих.

Проход посторонних лиц в помещение отдела контролируется сотрудником службы безопасности: посетитель идентифицируется по паспорту или служебному удостоверению, при необходимости посетителя провожают. Бесконтрольное нахождение посторонних лиц в здании фирмы не допускается. Проход посторонних лиц на другие этажи здания и помещения может быть блокирован охраной фирмы.

Следовательно, порядок функционирования кадровой службы должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.