Обеспечение информационной безопасности современной операционной системы – реферат

Метод подстановки

Шифр подстановки каждый символ открытого текста заменяет на некоторый другой. В классической криптографии различают четыре типа шифра подстановки:

– Одноалфавитный шифр подстановки (шифр простой замены) — шифр, при котором каждый символ открытого текста заменяется на некоторый, фиксированный при данном ключе символ того же алфавита. В шифрах простой замены замена производится только над одним единственным символом. Для наглядной демонстрации шифра простой замены достаточно выписать под заданным алфавитом тот же алфавит но в другом порядке или например со смещением. Записанный таким образом алфавит называют алфавитом замены. Шифр простой замены легко вскрывается с помощью частотного анализа, так как не меняет частоты использования символов в сообщении.

– Однозвучный шифр подстановки похож на одноалфавитный за исключением того, что символ открытого текста может быть заменен одним из нескольких возможных символов.

– Полиграммный шифр подстановки заменяет не один символ, а целую группу. Примеры: шифр Плейфера, шифр Хилла.

– Многоалфавитный шифр подстановки состоит из нескольких шифров простой замены. Примеры: шифр Виженера, шифр Бофора, одноразовый блокнот.

Метод перестановки

При шифровании перестановкой символы шифруемого текста переставляются по определенным правилам внутри шифруемого блока этого текста.

Простая перестановка

Выбирается размер блока шифрования в n столбцов и m строк и ключевая последовательность, которая формируется из натурального ряда чисел 1,2,…,n случайной перестановкой.

Шифрование проводится в следующем порядке:

– Шифруемый текст записывается последовательными строками под числами ключевой последовательности, образуя блок шифрования размером n*m.

– Зашифрованный текст выписывается колонками в порядке возрастания номеров колонок, задаваемых ключевой последовательностью.

– Заполняется новый блок и т.д.

Расшифрование выполняется в следующем порядке:

– Из зашифрованного текста выделяется блок символов размером n*m.

Этот блок разбивается на n групп по m символов.

– Символы записываются в те столбцы таблицы перестановки, номера которых совпадают с номерами групп в блоке. Расшифрованный текст читается по строкам таблицы перестановки.

– Выделяется новый блок символов и т.д.

Перестановка, усложненная по таблице

При усложнении перестановки по таблицам для повышения стойкости шифра в таблицу перестановки вводятся неиспользуемые клетки таблицы. Количество и расположение неиспользуемых элементов является дополнительным ключом шифрования.

При шифровании текста в неиспользуемые элементы не заносятся символы текста и в зашифрованный текст из них не записываются никакие символы – они просто пропускаются. При расшифровке символы зашифрованного текста также не заносятся в неиспользуемые элементы.

Для дальнейшего увеличения криптостойкости шифра можно в процессе шифрования менять ключи, размеры таблицы перестановки, количество и расположение неиспользуемых элементов по некоторому алгоритму, причем этот алгоритм становится дополнительным ключом шифра.

Перестановка, усложненная по маршрутам

Высокую стойкость шифрования можно обеспечить усложнением перестановок по маршрутам типа гамильтоновских. При этом для записи символов шифруемого текста используются вершины некоторого гиперкуба, а знаки зашифрованного текста считываются по маршрутам Гамильтона, причем используются несколько различных маршрутов. Размерность гиперкуба, количество вид выбираемых маршрутов Гамильтона составляют секретный ключ метода.

Шифрование методом гаммирования

Суть метода состоит в том, что символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, называемой гаммой. Иногда такой метод представляют как наложение гаммы на исходный текст, поэтому он получил название “гаммирование”.

Наложение гаммы можно осуществить несколькими способами, например по формуле

t_ш = t_о XOR t_г ,

где t_ш, t_о, t_г – ASCII коды соответственно зашифрованного символа, исходного символа и гаммы,

XOR – побитовая операция “исключающее или”.

Расшифрование текста проводится по той же формуле: t_о = t_ш XOR t_г .

Последовательность гаммы удобно формировать с помощью датчика псевдослучайных чисел (ПСЧ).

Стойкость гаммирования однозначно определяется длиной периода гаммы. При использовании современных ПСЧ реальным становится использование бесконечной гаммы, что приводит к бесконечной теоретической стойкости зашифрованного текста.

Основные направления, принципы и условия организационной защиты информации

Из упоминавшихся ранее средств и методов обеспечения информационной безопасности особо были выделены организационные, которые в совокупности с другими элементами системы защиты информации на предприятии подробно описаны в последующих главах учебника. Для наиболее полного и глубокого анализа происходящих в сфере защиты конфиденциальной информации процессов, понимание сущности планируемых и проводимых в этих целях мероприятий прежде всего необходимо рассмотреть одно из важнейших направлений защиты конфиденциальной информации — организационную защиту информации.

Организационная защита информации является организационным началом, так называемым «ядром» в общей системе защиты конфиденциальной информации предприятия. От полноты и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функционирования системы защиты информации в целом. Роль и место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных и верных управленческих решений с учетом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.

Среди основных направлений защиты информации наряду с организационной выделяют правовую и инженерно-техническую защиту информации.

Однако организационной защите информации среди этих направлений отводится особое место.

Организационная защита информации призвана посредством выбора конкретных сил и средств (включающие в себя правовые, инженерно-технические и инженерно-геологические) реализовать на практике спланированные руководством предприятия меры по защите информации. Эти меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке.

Роль руководства предприятия в решении задач по защите информации трудно переоценить. Основными направлениями деятельности, осуществляемой руководителем предприятия в этой области, являются: планирование мероприятий по защите информации и персональный контроль за их выполнением, принятие решений о непосредственном доступе к конфиденциальной информации своих сотрудников и представителей других организаций, распределение обязанностей и задач между должностными лицами и структурными подразделениями, аналитическая работа и т.д. Цель принимаемых руководством предприятия и должностными лицами организационных мер — исключение утечки информации и, таким образом, уменьшение или полное исключение возможности нанесения предприятию ущерба, к которому эта утечка может привести.

Система мер по защите информации в широком смысле слова должна строиться исходя из тех начальных условий и факторов, которые, в свою очередь, определяются состоянием устремленности разведок противника либо действиями конкурента на рынке товаров и услуг, направленными на овладение информацией, подлежащей защите.

Это правило действует как на государственном уровне, так и на уровне конкретного предприятия.

Используются два примерно равнозначных определения организационной зашиты информации.

Организационная защита информации — составная часть системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.

Организационная защита информации на предприятии — регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию.

Первое из приведенных определений в большей степени показывает сущность организационной защиты информации. Второе — раскрывает ее структуру на уровне предприятия. Вместе с тем оба определения подчеркивают важность нормативно-правового регулирования вопросов защиты информации наряду с комплексным подходом к использованию в этих целях имеющихся сил и средств. Основные направления организационной защиты информации приведены ниже.

Организационная защита информации:

– Организация работы с персоналом;

– Организация внутриобъектового и пропускного режимов и охраны;

– Организация работы с носителями сведений;

– Комплексное планирование мероприятий по защите информации;

– Организация аналитической работы и контроля.

Основные принципы организационной защиты информации:

– принцип комплексного подхода — эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;

– принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);

– принцип персональной ответственности — наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

Среди основных условий организационной защиты информации можно выделить следующие:

– непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;

– неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.

При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной информации на предприятии.

Успешное решение комплекса задач по защите информации не может быть достигнуто без создания единой основы, так называемого «активного кулака» предприятия, способного концентрировать все усилия и имеющиеся ресурсы для исключения утечки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию. Таким «кулаком» призвана стать система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражающая все направления и специфику деятельности данного предприятия.

Под системой защиты информации понимают совокупность органов защиты информации (структурных подразделений или должностных лиц предприятия), используемых ими средств и методов защиты информации, а также мероприятий, планируемых и проводимых в этих целях.

Для решения организационных задач по созданию и обеспечению функционирования системы защиты информации используются несколько основных подходов, которые вырабатываются на основе существующей нормативно-правовой базы и с учетом методических разработок по тем или иным направлениям защиты конфиденциальной информации.

Один из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия с учетом устремленности конкурирующих организаций к овладению конфиденциальной информацией и, тем самым, нанесению ущерба предприятию. Важным элементом анализа является работа по определению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа к ним различных категорий сотрудников (работников других предприятий).

Работу по проведению такого анализа непосредственно возглавляет руководитель предприятия и его заместители по направлениям деятельности. Изучение защищенности информационных ресурсов основывается на положительном и отрицательном опыте работы предприятия, накопленном в течение последних нескольких лет, а также на деловых связях и контактах предприятия с организациями, осуществляющими аналогичные виды деятельности.

При создании системы защиты информации, в первую очередь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого внимания. Предпочтение также отдается новым, перспективным направлениям деятельности предприятия, которые связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а также развивающимся международным связям. В соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные силы, средства, способы и методы ее защиты.

К организации системы защиты информации с позиции системного подхода выдвигается ряд требований, определяющих ее целостность, стройность и эффективность.

Система защиты информации должна быть:

– централизованной — обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц, отвечающих за различные направления деятельности предприятия;

– плановой — объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед предприятием задач в области защиты информации;

– конкретной и целенаправленной — рассчитанной на защиту абсолютно конкретных информационных ресурсов, представляющих интерес для конкурирующих организаций;

– активной — обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации усилий на наиболее важных направлениях деятельности предприятия;

– надежной и универсальной — охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией.

Основные методы, силы и средства, используемые для организации защиты информации

Один из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, — совокупность сил и средств предприятия, используемых для организации защиты информации.

Силы и средства различных предприятий отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее небольших объемов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются органами защиты информации.

Предприятия, работающие с незначительными объемами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области.

Ведущую роль в организации защиты информации на предприятии играют руководитель предприятия, а также его заместитель, непосредственно возглавляющий эту работу.

Руководитель предприятия несет персональную ответственность за организацию и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей информации. Он обязан:

– знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;

– определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;

– проявлять высокую требовательность к персоналу предприятия в вопросах сохранности конфиденциальной информации;

– оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.

Заместитель руководителя предприятия обязан постоянно изучать все стороны и направления деятельности предприятия для принятия своевременных мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ. Более подробно обязанности руководителя предприятия и его заместителя, отвечающего за защиту информации, рассмотрены в других статьях.

На предприятиях для организации работ по защите информации могут создаваться следующие основные виды структурных подразделений:

• режимно-секретные;
• подразделения по технической защите информации и противодействию иностранным техническим разведкам;
• подразделения криптографической защиты информации; мобилизационные;
• подразделения охраны и пропускного режима.

Функции, возлагаемые на перечисленные подразделения, определяются решением (приказом) руководителя предприятия и отражаются в соответствующих положениях.

По решению руководителя предприятия данные подразделения организационно могут объединяться в службу безопасности, руководитель которой в некоторых случаях может быть наделен статусом заместителя руководителя предприятия и полномочиями должностного лица, осуществляющего руководство работой структурных подразделений предприятия, деятельность которых связана с использованием и защитой информации.

Режимно-секретное подразделение, мобилизационное подразделение и подразделение по технической защите информации и противодействию иностранным техническим разведкам создаются на предприятиях, выполняющих работы с использованием сведений, составляющих государственную тайну (вне зависимости от наличия на предприятии иной информации с ограниченным доступом).

Режимно-секретное подразделение является основным структурным подразделением предприятия и решает задачи организации, координации и контроля деятельности других структурных подразделений (персонала предприятия) по обеспечению защиты сведений, составляющих государственную тайну. На предприятиях, не выполняющих работы со сведениями, составляющими государственную тайну, для решения аналогичных задач в отношении других видов информации с ограниченным доступом создается и функционирует служба безопасности (служба защиты информации).

Подразделение по технической защите информации и противодействию иностранным техническим разведкам решает задачи организации и проведения комплекса технических мероприятий, направленных на исключение или существенное затруднение добывания иностранными разведками с помощью технических средств сведений, отнесенных к конфиденциальной информации и подлежащих защите.

Подразделение криптографической защиты информации создается в целях предотвращения утечки конфиденциальной информации при ее передаче по открытым каналам (линиям) связи с помощью технических средств, а также при использовании локальных вычислительных сетей, имеющих выход за пределы территории предприятия.

Подразделение охраны и пропускного режима создается в целях предотвращения несанкционированного (бесконтрольного) пребывания на территории и объектах предприятия посторонних лиц и транспорта, нанесения ущерба предприятию путем краж (хищений) с территории предприятия материальных средств и иного имущества. В некоторых случаях для решения задач охраны и пропускного режима на предприятиях могут создаваться отдельные самостоятельные подразделения.

Мобилизационное подразделение решает задачи всесторонней подготовки предприятия к работе в условиях военного времени, призыва и поступления мобилизационных людских и материальных ресурсов.

Кроме перечисленных подразделений предприятия к работе по организации защиты информации могут привлекаться и иные структурные подразделения, для которых выполнение мероприятий по защите информации не является основной функцией.

К таким подразделениям относятся кадровый орган, орган юридической службы (юрисконсульт), орган психологической и воспитательной работы, пресс-служба предприятия и др. Особо необходимо отметить важность участия в организации защиты информации производственных, так называемых «тематических» структурных подразделений (отдельных должностных лиц), которые создают продукцию и товары или оказывают услуги (например, производство стрейч пленки), и в связи с этим самым непосредственным образом взаимодействуют с другими предприятиями и органами государственной власти.

Для проведения работ по организации защиты информации используются также возможности различных нештатных подразделений предприятия, в том числе коллегиальных органов (комиссий), создаваемых для решения специфических задач в этой области. В их числе — постоянно действующая техническая комиссия, экспертная комиссия, комиссия по рассекречиванию носителей конфиденциальной информации, комиссия по категорированию объектов информатизации и др. Функции, возлагаемые на данные комиссии, рассмотрены в других статьях.

Чтобы добиться максимальной эффективности при решении задач защиты информации, наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц) необходимо использовать имеющиеся на предприятии средства защиты информации.

Под средствами защиты информации понимают технические, криптографические, программные и другие средства и системы, разработанные и предназначенные для защиты конфиденциальной информации, а также средства, устройства и системы контроля эффективности защиты информации.

Технические средства защиты информации — устройства (приборы), предназначенные для обеспечения защиты информации, исключения ее утечки, создания помех (препятствий) техническим средствам доступа к информации, подлежащей защите.

Криптографические средства защиты информации — средства (устройства), обеспечивающие защиту конфиденциальной информации путем ее криптографического преобразования (шифрования).

Программные средства защиты информации — системы защиты средств автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения.

ффективное решение задач организации защиты информации невозможно без применения комплекса имеющихся в распоряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприятия играют методы защиты информации, определяющие порядок, алгоритм и особенности использования данных сил и средств в конкретной ситуации.

Методы защиты информации — применяемые в целях исключения утечки информации универсальные и специфические способы использования имеющихся сил и средств (приемы, меры, мероприятия), учитывающие специфику деятельности по защите информации.

Общие методы защиты информации подразделяются на правовые, организационные, технические и экономические.

Методы защиты информации с точки зрения их теоретической основы и практического использования взаимосвязаны. Правовые методы регламентируют и всесторонне нормативно регулируют деятельность по защите информации, выделяя, прежде всего, ее организационные направления. Тесную связь организационных и правовых методов защиты информации можно показать на примере решения задач по исключению утечки конфиденциальной информации, в частности относящейся к коммерческой тайне предприятия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами. Эти органы в соответствии с предоставленными им законом полномочиями осуществляют деятельность по получению (истребованию), обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками).

Передача информации, в установленном порядке отнесенной к коммерческой тайне или содержащей персональные данные работника предприятия, должна осуществляться на основе договора, предусматривающего взаимные обязательства сторон по нераспространению (неразглашению) этой информации, а также необходимые меры по ее защите.

Организационные механизмы защиты информации определяют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера.

Технические методы защиты информации, используемые в комплексе с организационными методами, играют большую роль в обеспечении защиты информации при ее хранении, накоплении и обработке с использованием средств автоматизации. Технические методы необходимы для эффективного применения имеющихся в распоряжении предприятия средств защиты информации, основанных на новых информационных технологиях.

Среди перечисленных методов защиты информации особо выделяются организационные методы, направленные на решение следующих задач:

• реализация на предприятии эффективного механизма управления, обеспечивающего защиту конфиденциальной информации и недопущение ее утечки;
• осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту конфиденциальной информации;
• определение перечней сведений, относимых на предприятии к различным категориям (видам) конфиденциальной информации;

ограничение круга лиц, имеющих право доступа к различным видам информации в зависимости от степени ее конфиденциальности;

подбор и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание персонала предприятия, допущенного к конфиденциальной информации;

организация и ведение конфиденциального делопроизводства;

осуществление систематического контроля за соблюдением установленных требований по защите информации.

Приведенный перечень организационных методов не является исчерпывающим и, в зависимости от специфики деятельности предприятия, степени конфиденциальности используемой информации, объема выполняемых работ, а также опыта работы в области защиты информации, может быть дополнен иными методами.

Организация защиты информации при проведении совещаний

Планирование мероприятий по защите информации при подготовке к проведению совещания

В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера. Прелатом обсуждения могут быть сведения, составляющие государственную тайну, вопросы конфиденциального характера, касаются проводимых предприятием научно-исследовательских, опытно-конструкторских и иных работ, предусмотренных его уставом, или коммерческой стороны его деятельности.

Перечисленные мероприятия могут быть внешними (с участием представителей сторонних организаций) или внутренними (к участию в них привлекается только персонал данного предприятия). Решение о проведении совещания во всех случаях принимает непосредственно руководитель предприятия или его заместитель ходатайству руководителя структурного подразделения (отдела, службы), планирующего проведение данного совещания. Меры по защите конфиденциальной информации в ходе подготовки и доведения совещания, принимаемые руководством предприятия (структурным подразделением, организующим совещание), должны быть как организационными, так и организационно-техническими.

Мероприятия по защите информации проводятся при подготовке, в ходе проведения и по окончании совещания. В работе руководства и должностных лиц предприятия по защите информации при проведении совещания важное место занимает этап планирования конкретных мероприятий, направлениях на исключение утечки конфиденциальной информации и на ее защиту.

В целях наиболее эффективного решения задач защиты информации в разрабатываемых организационно-планирующих документах комплексно учитываются все мероприятия, независимо от их содержания и направленности (организационные, организационно-технические или иные мероприятия). Поскольку эти мероприятия должны быть увязаны между собой по времени и месту проведения, в данной статье они рассматриваются как единое целое.

Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер, определение ответственных за их реализацию должностных лиц (структурных подразделений), а также сроков их осуществления. При планировании совещания предусматривается такая очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, не имеющих к ним прямого отношения.

Наиболее актуальны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания), так как вероятность утечки конфиденциальной информации при их проведении по сравнению с совещаниями, проводимыми в рамках одного предприятия (внутренними совещаниями), значительно выше. Поэтому внешним совещаниям в настоящей главе уделено особое внимание.

Работу по планированию мероприятий в области защиты информации, проводимых в ходе совещания с участием представителей сторонних организаций, возглавляет руководитель предприятия, непосредственное участие в планировании принимает заместитель, в ведении которого находятся вопросы защиты информации на предприятии.

На заместителя руководителя предприятия также возлагается общая координация выполнения спланированных мероприятий. При отсутствии в структуре предприятия данного должностного лица, указанные задачи возлагаются на руководителя режимно-секретного подразделения (руководителя службы безопасности).

План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы.

1. Определение состава участников и их оповещение — порядок формирования списка лиц, привлекаемых к участию в совещании, и перечня предприятий, которым необходимо направить запросы с приглашениями; порядок подготовки и направления таких запросов, формирования их содержания.

2. Подготовка служебных помещений, в которых планируется проведение совещания, — работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации; необходимость и целесообразность принятия дополнительных организационно-технических мер, направленных на исключение утечки информации; оборудование рабочих мест участников совещания, в том числе средствами автоматизации, на которых разрешена обработка конфиденциальной информации; порядок использования средств звукоусиления, кино- и видеоаппаратуры.

3. Определение объема обсуждаемой информации — порядок определения перечня вопросов, выносимых на совещание, и очередности их рассмотрения, оценки степени их конфиденциальности; выделение вопросов, к которым допускается узкий круг лиц, участвующих в совещании.

4. Организация пропускного режима на территории и в служебных помещениях, в которых проводится совещание — виды пропусков и проставляемых на них условных знаков или шифров для прохода в конкретные служебные помещения; порядок их учета, хранения, выдачи и выведения из действия, сроки уничтожения; жим прохода, посещения и пребывания в помещениях участников в совещания; количество и регламент работы основных и дополнительных контрольно-пропускных пунктов для прохода участников совещания на территорию и в служебные помещения.

5. Организация допуска участников совещания к рассматриваемым вопросам — мероприятия, касающиеся непосредственного доска участников к вопросам, выносимым на совещание, с учетом порядка их обсуждения и степени конфиденциальности информации, к которой допущен каждый участник совещания.

6. Осуществление записи (стенограммы), фото-, кино-, видеосъемки совещания — порядок и возможные способы записи, съемки, стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности; должностные лица или подразделения, отвечающие за техническое обеспечение данных процессов.

На заместителя руководителя предприятия также возлагается общая координация выполнения спланированных мероприятий. При отсутствии в структуре предприятия данного должностного лица, указанные задачи возлагаются на руководителя режимно-секретного подразделения (руководителя службы безопасности).

План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы.

Определение состава участников и их оповещение — порядок формирования списка лиц, привлекаемых к участию в совещании, и перечня предприятий, которым необходимо направить запросы с приглашениями; порядок подготовки и направления таких запросов, формирования их содержания.

Подготовка служебных помещений, в которых планируется проведение совещания, — работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации; необходимость и целесообразность принятия дополнительных организационно-технических мер, направленных на исключение утечки информации; оборудование рабочих мест участников совещания, в том числе средствами автоматизации, на которых разрешена обработка конфиденциальной информации; порядок использования средств звукоусиления, кино- и видеоаппаратуры.

Определение объема обсуждаемой информации — порядок определения перечня вопросов, выносимых на совещание, и очередности их рассмотрения, оценки степени их конфиденциальности; выделение вопросов, к которым допускается узкий круг лиц, участвующих в совещании.

7. Меры по защите информации непосредственно при проведении совещания — порядок и способы охраны служебных помещений, меры по исключению проникновения в них посторонних лиц, а также участников совещания, не участвующих в рассмотрении конкретных вопросов; мероприятия по предотвращению утечки информации по техническим каналам, силы и средства, задействованные при проведении этих мероприятий; конкретные меры, исключающие визуальный просмотр и прослушивание ведущихся переговоров и обсуждения участниками совещания вопросов конфиденциального характера.

8. Организация учета, хранения, выдачи и рассылки материалов совещания — порядок учета, хранения, размножения, выдачи, рассылки и уничтожения материалов совещания, а также рабочих тетрадей или блокнотов, предназначенных для записи обсуждаемых участниками совещания вопросов; порядок обращения с данными носителями информации непосредственно в ходе совещания и после его окончания. Особое внимание уделяется порядку учета, хранения, размножения и использования материалов совещания, зафиксированных на магнитных носителях (исполненных в электронном виде).

9. Оформление документов лиц, принимавших участие в совещании, — порядок и сроки оформления документов, подтверждающих право доступа участников совещания к конфиденциальной информации, предписаний или доверенностей на участие в совещании, командировочных удостоверений и иных документов командированных для участия в совещании лиц.

10. Проверка и обследование места проведения совещания поел его окончания — мероприятия по организации и проведению визуальной проверки, а также проверки с использованием специальных технических средств помещений, в которых проводилось совещание, в целях выявления забытых участниками совещаний технических устройств, носителей конфиденциальной информации и личных вещей.

11. Организация контроля за выполнением требований по защите информации — порядок, способы и методы контроля полноты и качества проводимых мероприятий, направленных на предотвращение утечки и разглашения конфиденциальной информации, утрат хищений носителей информации; структурные подразделения или должностные лица, отвечающие за осуществление контроля; порядок и сроки представления ответственными должностными лицам докладов о наличии носителей конфиденциальной информации выявленных нарушениях в работе по защите информации.

В плане также указываются время и место проведения совещания, состав участников, перечень предприятий, участвующих совещании. Для каждого мероприятия, включаемого в план, определяют срок (время) его проведения и ответственное за его выполнение должностное лицо (подразделение).

Внутренние совещания (без приглашения представителей сторонних организаций) могут проводиться без непосредственного участия режимно-секретного подразделения (службы безопасности). В этих случаях ответственность за планирование и проведение мероприятий по исключению утечки конфиденциальной информации и по ее защите возлагается на руководителя структурного подразделения предприятия, организующего совещание.

Непосредственную разработку плана подготовки и проведение внутреннего совещания осуществляет организующее его структурное подразделение предприятия. В этом подразделении назначается должностное лицо, отвечающее за разработку плана, его согласование с другими заинтересованными подразделениями предприятия, режимно-секретным подразделением (службой безопасности) и представление в установленном порядке на утверждение руководителю предприятия (его заместителю).

В план наряду с мероприятиями, направленными на реализацию основных целей совещания, включаются отдельные мероприятия по защите информации. Их объем и количество зависят от степени секретности (конфиденциальности) рассматриваемых вопросов (тематик), круга привлекаемых сотрудников предприятия, ходимости использования технических средств для демонстрации фильмов (слайдов, видеороликов и т.п.) и от иных факторов.

После утверждения плана руководством предприятия он под писку доводится до сведения всех заинтересованных должностных лиц (руководителей подразделений и ответственных за выполнение отдельных мероприятий плана) в части, касающейся данных должностных лиц. Контроль за выполнением мероприятий плана, направленных на защиту информации, осуществляется режимно-секретным подразделением (службой безопасности) предприятия.

При обсуждении вопросов конфиденциального характера или пользовании конфиденциальной информации в ходе совещания руководство предприятия-организатора осуществляет комплекс мероприятий, направленных на исключение ознакомления конфиденциальной информацией посторонних лиц, в том числе сотрудников фирм-конкурентов. На совещание приглашаются работники, имеющие непосредственное отношение к рассматриваемым вопросам.

Если в ходе совещания используются сведения, составляющие государственную тайну, его участники должны иметь допуск к ним сведениям по соответствующей форме. При рассмотрении вопросов, отнесенных к иным видам конфиденциальной информации, участники совещания должны иметь оформленное в уставленном порядке решение руководителя предприятия о допуск данной категории (данному виду) информации.

При последовательном рассмотрении вопросов, имеющих различную степень конфиденциальности, к участию в совещании по каждому из рассматриваемых вопросов допускаются лица, имеющие к этому вопросу непосредственное отношение.

Должностное лицо, ответственное за проведение совещания, указанию руководителя предприятия (руководителя подразделения, организующего совещание) формирует список лиц, участвующих в совещании. Список составляется на основании письменных обращений руководителей предприятий, приглашенных участвовать в совещании, и решений руководителей подразделений предприятия-организатора о привлечении к участию в совещании сотрудников этих подразделений.

В списке указывают фамилию, имя, отчество каждого участника, его место работы и должность, номер допуска к сведениям составляющим государственную тайну, или номер решения рук водителя о допуске к иной конфиденциальной информации, и мера вопросов совещания, к обсуждению которых допущен участник. При необходимости в списке могут указываться и другие сведения.

Подготовленный список участников согласовывается с режимно-секретным подразделением (службой безопасности) предприятия-организатора совещания и утверждается руководителе этого предприятия, давшим разрешение на проведение совещания. Включенные в список участники совещания проходят в служебные помещения, в которых оно проводится, предъявляя сотрудникам службы охраны (службы безопасности) документ, удостоверяющий личность. Проход участников совещания в эти помещения может быть организован по пропускам, выдаваемы им исключительно на период проведения совещания и отличающимся от других используемых предприятием-организатором пропусков. Участники совещания имеют право посещения только тех служебных помещений, в которых будут обсуждаться вопросы, к которым эти участники имеют непосредственное отношение.

Проверку документов, подтверждающих наличие у участников совещания допуска к сведениям, составляющим государственную тайну, и разрешений на ознакомление с конфиденциальной информацией осуществляет служба безопасности (режимно-секретное подразделение) предприятия-организатора совещания.

Совещания проводятся в служебных помещениях, в которых установленном порядке разрешено обсуждение вопросов конфиденциального характера и выполнены предусмотренные нормативными правовыми актами необходимые организационно-технические мероприятия, предотвращающие утечку защищаемой информации по техническим каналам.

В ходе проведения совещания разрешается использование фото-, кино-, видео- и звукозаписывающей аппаратуры, защита которой обеспечивается в соответствии с требованиями по технической защите информации и противодействию иностранным техническим разведкам.

Проверка служебных помещений на предмет возможности обсуждения в них вопросов конфиденциального характера проводится накануне совещания специально назначаемой комиссией, состоящей из специалистов по технической защите информации и противодействию иностранным техническим разведкам и соответствующих подразделений предприятия-организатора.

Порядок проведения совещания и использования его материалов

В ходе совещания, в том числе и во время перерывов, сотрудник, ответственный за его проведение, совместно со службой безопасности (режимно-секретным подразделением) осуществляет необходимые организационные мероприятия, направленные на исключение утечки конфиденциальной информации.

Во время перерывов в совещании, а также после завершения обсуждения одного вопроса и перехода к обсуждению следующего, сотрудники службы безопасности (службы охраны) организуют контроль посещения служебных помещений, в которых проводится совещание, его участниками в соответствии с утвержденным списком.

На все время проведения совещания запрещается пронос в служебные помещения, в которых оно проводится, индивидуальных видео- и звукозаписывающих устройств, а также средств связи (в том числе мобильных телефонов и приемников персонального вызова). В целях обеспечения их сохранности организуется камера хранения личных вещей участников совещания.

Звуко- и видеозапись, а также кино- и видеосъемка хода совещания проводятся с разрешения руководителя предприятия — организатора совещания только на учтенных в режимно-секретном подразделении (службе безопасности) носителях (не стоит переусердствовать, для видеосъемки совсем не нужен профессиональный видеооператор, достаточно поставить миникамеру). При этом должны соблюдаться требования по защите информации.

Независимо от степени конфиденциальности рассматриваемых на совещании вопросов, участникам совещания не разрешается:

информировать о факте, месте, времени проведения совещания, повестке дня, рассматриваемых вопросах и ходе их обсуждения любых лиц, не принимающих участия в совещании и не имеющих к нему непосредственного отношения;

Непосредственно перед началом совещания его руководитель или должностное лицо, ответственное за его проведение, обязаны проинформировать участников совещания о степени конфиденциальности обсуждаемых вопросов.

в ходе совещания производить выписки из документов и иных носителей конфиденциальной информации, используемых при обсуждении, на неучтенные в установленном порядке носители (отдельные листы бумаги и т.п.);

обсуждать вопросы, вынесенные на совещание, в местах общего пользования во время перерывов в совещании и после его завершения;

в ходе проведения совещания расширять объем конфиденциальной информации, используемой в выступлениях, а также при обмене мнениями и обсуждении рассматриваемых вопросов.

Носители конфиденциальной информации, содержащие материалы совещания, выдаются режимно-секретным подразделением (службой безопасности) участникам совещания под расписку, а после окончания совещания возвращаются. Контроль своевременного возврата этих носителей осуществляют сотрудники указанных подразделений.

Для записи хода совещания и обсуждаемых вопросов его участникам в установленном порядке выдаются рабочие тетради или рабочие блокноты, учтенные в службе безопасности (режимно-секретном подразделении) и имеющие соответствующий гриф секретности (конфиденциальности). Эти рабочие тетради (блокноты) по окончании совещания возвращаются в режимно-секретное подразделение (службу безопасности). При необходимости они могут быть секретной (конфиденциальной) почтой направлены для дальнейшего хранения и использования в организации, представители которых производили в них записи на совещании.

Итоговые документы совещания, а также материалы выступлений участников, в том числе и оформленные в электронном виде, в установленном порядке высылаются в организации, направлявшие на совещание своих представителей, а также в вышестоящие органы государственной власти (организации).

Перечень организаций, которым необходимо направить материалы совещания, определяет руководитель предприятия-организатора. В необходимых случаях этот перечень согласовывается с руководителями организаций, представители которых принимали участие в совещании.

Лицам, принимавшим участие в совещании, без письменного разрешения предприятия — организатора совещания запрещается использовать материалы совещания и его результаты при взаимодействии (проведении работ, переписке) с организациями, представители которых на него не приглашались.

Службой безопасности предприятия (режимно-секретным подразделением) проводится постоянный анализ возможных каналов утечки конфиденциальной информации при проведении совещаний на территории предприятия и, по решению руководителя предприятия (его заместителя), принимаются дополнительные меры, направленные на повышение эффективности защиты информации.

Планирование мероприятий по организационной защите информации на предприятии

Основные цели планирования

Одно из наиболее важных направлений деятельности предприятия, осуществляющего работу со сведениями конфиденциального характера, — планирование мероприятий по защите конфиденциальной информации. Планирование указанных мероприятий занимает особое место в системе управления деятельностью как предприятия в целом, так и его структурных подразделений (отдельных должностных лиц). Трудно также переоценить значение этого направления в общей системе организационных мер обеспечения информационной безопасности предприятия.

Основными целями планирования мероприятий по защите информации являются:

• организация проведения комплекса мероприятий по защите конфиденциальной информации, направленных на исключение возможных каналов утечки этой информации;
• установление персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации в ходе производственной и иной деятельности предприятия;
• определение сроков (времени, периода) проведения конкретных мероприятий по защите информации;
• систематизация (объединение) всех проводимых на плановой основе мероприятий по различным направлениям защиты конфиденциальной информации;
• установление системы контроля за обеспечением защиты информации на предприятии, а также системы отчетности о выполнении конкретных мероприятий;
• уточнение (конкретизация) функций и задач, решаемых отдельными должностными лицами и структурными подразделениями предприятия.

Основой для планирования мероприятий по защите информации на предприятии служат:

• требования законодательных и иных нормативных правовых актов по защите конфиденциальной информации, соответствующих нормативно-методических документов федерального органа исполнительной власти (при наличии ведомственной принадлежности), вышестоящей организации, а при планировании мероприятий по защите информации филиалом или представительством предприятия — указания головного предприятия;
• требования заказчиков проводимых предприятием в рамках соответствующих договоров (контрактов) совместных и других работ;
• положения международных договоров (соглашений) и иных документов, определяющих участие предприятия в тех или иных формах международного сотрудничества;
• положения внутренних организационно-распорядительных документов предприятия (приказов, директив, положений, инструкций), определяющих порядок ведения производственной и иной деятельности, а также конкретизирующих вопросы защиты конфиденциальной информации на предприятии;
• результаты комплексного анализа состояния дел в области защиты информации, проводимого службой безопасности (режимно-секретным подразделением) на основании материалов проверок структурных подразделений (филиалов, представительств) предприятия;
• результаты проверок состояния защиты информации, проведенных вышестоящими организации, федеральными органами исполнительной власти (при наличии ведомственной принадлежности) и заказчиками работ (в рамках выполняемых договоров или контрактов), выработанные на основании этих результатов предложения и рекомендации;

• результаты контроля за состоянием защиты информации, проводимого органами безопасности и иными контролирующими органами (в части, их касающейся);
• особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов конфиденциальной информации.

Планирование мероприятий по защите конфиденциальной информации проводится одновременно с планированием основной производственной и иной деятельности предприятия. Планирование может осуществляться на календарный год, календарный месяц, неделю, а также на иной определенный срок, обусловленный проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами конфиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.

В целях эффективного решения задач по защите конфиденциальной информации в рамках наиболее важных и масштабных работ, а также в ходе реализации на предприятии федеральных целевых, государственных, ведомственных и других программ могут разрабатываться отдельные планы, носящие характер программно-целевого планирования. Такими программами могут быть реконструкция предприятия, внедрение новых технологий, в том числе информационных, и т.п.

результаты контроля за состоянием защиты информации, проводимого органами безопасности и иными контролирующими органами (в части, их касающейся);

особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов конфиденциальной информации.

Планирование мероприятий по защите конфиденциальной информации проводится одновременно с планированием основной производственной и иной деятельности предприятия. Планирование может осуществляться на календарный год, календарный месяц, неделю, а также на иной определенный срок, обусловленный проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами конфиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.

В целях эффективного решения задач по защите конфиденциальной информации в рамках наиболее важных и масштабных работ, а также в ходе реализации на предприятии федеральных целевых, государственных, ведомственных и других программ могут разрабатываться отдельные планы, носящие характер программно-целевого планирования. Такими программами могут быть реконструкция предприятия, внедрение новых технологий, в том числе информационных, и т.п.

Планы мероприятий по защите информации относятся к документам с ограниченным доступом, учитываются и хранятся в службе безопасности (режимно-секретном подразделении) предприятия в порядке, установленном для документов соответствующей степени конфиденциальности (секретности).

Разработка планирующих документов по защите информации на предприятии осуществляется службой безопасности (режимно-секретным подразделением) в тесном взаимодействии с подразделениями (отдельными должностными лицами), в ведении которых находятся задачи, непосредственно касающиеся вопросов защиты информации (подразделение противодействия иностранным техническим разведкам, служба охраны, кадровый орган и др.). Кроме того, при подготовке планов учитываются предложения структурных подразделений предприятия, занимающихся производственной (финансово-хозяйственной) деятельностью или ее обеспечением.

От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат ее носителей, а также возникновения предпосылок подобных происшествий.

Структура и основное содержание плана мероприятий по защите конфиденциальной информации

Основным организационно-планирующим документом предприятия является План мероприятий по защите конфиденциальной информации на календарный год. Данный план наиболее полно и всесторонне отражает мероприятия по защите информации, предполагаемые к проведению в ходе повседневной деятельности предприятия в течение календарного года. При подготовке плана учитываются вновь принятые (подписанные, утвержденные) нормативные правовые акты и методические документы по защите конфиденциальной информации, действующие приказы и текущие указания вышестоящих органов государственной власти и организаций (при наличии ведомственной принадлежности или иной подчиненности).

План мероприятий по защите конфиденциальной информации на предприятии на календарный год утверждается руководителем предприятия до начала календарного года, на который он разработан. При необходимости план согласовывается с соответствующим органом безопасности. Утвержденный план под расписку доводится до сведения заместителей руководителя предприятия, руководителей структурных подразделений и отдельных должностных лиц, ответственных за проведение указанных в плане мероприятий.

Типовой план мероприятий по защите конфиденциальной информации на календарный год содержит следующие основные разделы:

Организаторская работа руководства предприятия — разработка организационно-планирующих документов в ходе повседневной деятельности предприятия и при выполнении предприятием всех видов работ; представляемые в вышестоящий орган государственной власти или в вышестоящую организацию доклады и донесения о состоянии защиты информации; подготовка и издание приказов руководителя предприятия по различным вопросам в сфере защиты конфиденциальной информации; переработка и уточнение должностных обязанностей сотрудников и др.

Подготовка персонала по вопросам защиты информации — организация и проведение занятий со всеми категориями сотрудников предприятия с учетом специфики выполняемой ими работы; изучение положений нормативно-методических документов в области защиты информации и, при необходимости, доведение их требований до сведения сотрудников под расписку; принятие зачетов и проведение занятий с вновь прибывшими или назначенными на должность сотрудниками; мероприятия по обучению сотрудников предприятия в образовательных учреждениях высшего, среднего и дополнительного профессионального образования.

3. Контроль защиты информации и наличия носителей конфиденциальной информации — организация и проведение всех видов проверок состояния защиты информации и наличия носителей конфиденциальной информации. Особое внимание уделяется планированию проводимых по окончании календарного года мероприятий по проверке наличия носителей информации комиссией предприятия. Для предприятий, работающих со сведениями, составляющими государственную тайну, проведение проверок наличия носителей этих сведений планируется в соответствии со сроками, определенными в нормативных правовых актах по обеспечению режима секретности. При наличии у предприятия подчиненных организаций, филиалов и представительств планируются проверки состояния защиты информации в этих организациях комиссиями головного предприятия.

4. Допуск и доступ персонала к конфиденциальной информации и ее носителям — мероприятия, касающиеся разработки, переработки и согласования номенклатуры должностей работников предприятия, подлежащих оформлению на допуск к сведениям, составляющим государственную тайну; вопросы оформления и переоформления материалов на допуск к государственной тайне сотрудников предприятия, в том числе контрактов, трудовых договоров и карточек о допуске; разработка и переработка списков лиц, допускаемых к конфиденциальной информации, а также лиц, допускаемых к конкретным материалам проводимых работ; мероприятия, направленные на разграничение доступа к носителям конфиденциальной информации в зависимости от степени их секретности или конфиденциальности, а также в зависимости от тематики проводимых предприятием работ.

При необходимости отдельным пунктом отражаются вопросы организации учета осведомленности лиц в сведениях особой важности и совершенно секретных сведениях, подготовки соответствующих заключений.

5. Организация и ведение конфиденциального делопроизводства — мероприятия, непосредственно касающиеся деятельности службы безопасности или режимно-секретного подразделения предприятия, а также специально создаваемых на предприятии комиссий по отбору конфиденциальных документов и материалов для уничтожения, пересмотру степени секретности или конфиденциальности материалов, инструктажу лиц, убывающих с носителями конфиденциальной информации за пределы предприятия; вопросы учета, хранения, размножения и уничтожения носителей конфиденциальной информации, порядок работы с ними персонала предприятия.

6. Защита информации при осуществлении рекламной и публикаторской деятельности — мероприятия, связанные с работой экспертной комиссии по принятию решений о возможности публикации научных материалов, информации о деятельности предприятия, использования этих материалов при проведении рекламных акций; мероприятия, осуществляемые при подготовке материалов к открытому опубликованию.

7. Защита информации при использовании технических средств — организационные мероприятия по подготовке и вводу в эксплуатацию объектов информатизации, обрабатывающих информацию с ограниченным доступом, по технической защите информации, защите информации от несанкционированного доступа и от утечки по техническим каналам; работа должностных лиц по противодействию иностранным техническим разведкам, предотвращению утечки информации при использовании средств открытой связи — например факсимильной, телеграфной, голосовой, телефонной.

8. Защита информации в ходе осуществления международного сотрудничества — мероприятия по защите информации при подготовке и реализации международных договоров и иных документов, приеме иностранных делегаций на предприятии. Мероприятия предусматриваются с учетом распределения функций по защите информации между структурными подразделениями предприятия (отделами, службами) и должностными лицами.

9. Выезд за границу сотрудников, допущенных к конфиденциальной информации, — для предприятий, работающих со сведениями, составляющими государственную тайну, планирование мероприятии в данном разделе осуществляется в строгом соответствии с Федеральным законом «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», Законом РФ «О государственной тайне» и иными нормативными правовыми актами РФ. Планируемые мероприятия не должны быть направлены на ограничение права сотрудников предприятия, допущенных конфиденциальной информации (за исключением сведений особой важности и совершенно секретных сведений), на выезд из Российской Федерации.

10. Защита информации при выполнении совместных и других работ — мероприятия, направленные на исключение утечки конфиденциальной информации при участии предприятия в выполнении совместных и других работ, предусмотренных уставом предприятия; порядок и условия отражения в договорах, заключаемых с заказчиками или исполнителями работ, вопросов защиты информации, содержание соответствующих пунктов указанных договоров; мероприятия по защите государственной тайны в ходе деятельности конкурсных комиссий по выбору исполнителей работ; при участии предприятия в выполнении работ в рамках государственного оборонного заказа — особенности проведения этих работ.

Для совместных работ, в которых предприятие выступает в роли заказчика или головного исполнителя, предусматриваются мероприятия по контролю эффективности защиты исполнителями этих работ конфиденциальной информации, передаваемой им предприятием в качестве исходных данных. При выполнении предприятием работ с использованием сведений, составляющих государственную тайну, в данном разделе плана предусматриваются мероприятия, определенные ст. 17 Закона РФ «О государственной тайне» (включение в договоры на проведение работ положений, содержащих меры ответственности заказчиков, головных исполнителей и исполнителей работ за несоблюдение установленных требований и т.д.).

11. Защита информации в чрезвычайных ситуациях — порядок формирования, задачи и основные направления деятельности нештатного подразделения предприятия — специальной комиссии, создаваемой приказом руководителя предприятия в целях выработки мер по предупреждению чрезвычайных ситуаций на предприятии, а также мер по защите информации при возникновении чрезвычайных ситуаций; практические меры, направленные на недопущение нанесения ущерба информационной безопасности предприятия вследствие возникновения чрезвычайной ситуаций, в том числе на предотвращение утечки защищаете информации, утраты, хищения или уничтожения носителе конфиденциальной информации; анализ возможных угроз и различных факторов, приводящих к возникновению на предприятии чрезвычайных ситуаций. Особое внимание уделяется вопросам координации действий всех структурных подразделений, участвующих в решении задач защиты информации.

При планировании мероприятий по защите информации учитываются все возможные виды и способы проявления чрезвычайных ситуаций, мероприятия по защите информации при возникновении чрезвычайных ситуаций отражаются в соответствующих планах работы предприятия (его структурных подразделений) на календарный месяц. В данном разделе плана (либо в отдельном приложении к плану) указываются также:

• фамилия, имя, отчество, домашний адрес и контактные те-фоны (в том числе мобильной связи) каждого сотрудника, принимающего участие в ликвидации последствий чрезвычайной ситуации на объектах предприятия;
• очередность и порядок вызова (оповещения) всех сотрудников, участвующих в выполнении работ по ликвидации последствий чрезвычайной ситуации, в зависимости от ее вида, сроки прибытия этих сотрудников на объекты предприятия;
• обязанности каждого сотрудника предприятия и последовательность выполнения им мероприятий (работ) в соответствии с конкретным планом действий;
• перечень сил и средств (в том числе транспортных средств и средств связи), привлекаемых к решению задач ликвидации последствий чрезвычайных ситуаций;
• места стоянки и маршруты движения транспортных средств, эвакуирующих носители конфиденциальной информации (в том числе крупногабаритные);
• маршруты эвакуации носителей конфиденциальной информации, места их сосредоточения, способы и порядок охраны эвакуированных носителей (крупногабаритных изделий), привлекаемые для охраны силы и средства (в том числе штатных подразделений охраны).

12. Пропускной режим и охрана объектов предприятия — организационные мероприятия по созданию и совершенствованию системы пропускного режима и охраны, такие, как подготовка приказов о вводе в действие или о выводе из действия всех видов пропусков, о назначении ответственных должностных лиц, разработка и переработка инструкций и положений, мероприятия по материально-техническому обеспечению, установке и эксплуатации технических средств охраны и др.

13. Аналитическая работа на предприятии — все виды обзоров и отчетов о состоянии дел в области защиты информации на предприятии, оформляемых для руководства предприятия, а также для руководителей вышестоящих органов государственной власти или вышестоящих организаций; мероприятия по формированию материалов, содержащих итоги работы предприятия и его структурных подразделений по защите информации, для изучения всея сотрудниками предприятия. Особое место в разделе занимают аналитические отчеты по итогам календарного месяца и календарного года, которые готовит служба безопасности (режимно-секретное подразделение) предприятия.

При необходимости включения в план иных мероприятий, I вошедших в перечисленные разделы, они отражаются в отделmном разделе плана («Другие мероприятия»).

Особое внимание при разработке и реализации плана мероприятии уделяется роли руководителей структурных подразделений предприятия как должностных лиц, ответственных за обеспечение защиты информации в непосредственно подчиненных т подразделениях.

Контроль за выполнением конкретных мероприятий, включенных в данный план, осуществляется руководителем предприятия и его заместителем, в ведении которого находятся вопросы защиты конфиденциальной информации. Служба безопасности (режимно-секретное подразделение) предприятия осуществляет текущий контроль за практической реализация включенных в план мероприятий и информирует об их выполнении указанных должностных лиц. Мероприятия, отраженные в разделах плана, подробно рассмотрены в соответствующих глава учебника.

Разглашение конфиденциальной информации — предание огласке этой информации работником, допущенным к ней в связи с выполнением функциональных (должностных) обязанностей.

Под утратой носителей конфиденциальной информации (документов, материалов, изделий) понимается выход (в том числе на непродолжительное время) этих носителей из владения работника, который в установленном порядке допущен к ним в связи с выполнением функциональных (должностных) обязанностей, в результате чего данные носители стали либо могли стать достоянием посторонних лиц.

За разглашение конфиденциальной информации, утрату носителей конфиденциальной информации и нанесение вследствие этих действий ущерба предприятию (работодателю) виновные лица привлекаются к дисциплинарной, материальной, административной или уголовной ответственности.

Дисциплинарная ответственность работников предприятий предусмотрена ст. 57, 81, 192 и 193 Трудового кодекса РФ. В соответствии со ст. 57 в заключаемом работодателем и работником трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной).

Определенные ст. 192 Трудового кодекса РФ: замечание, выговор, увольнение по соответствующим основаниям. Порядок применения дисциплинарных взысканий определен в ст. 193 кодекса.

Увольнение работника осуществляется в соответствии с положениями ст. 81 Трудового кодекса РФ «Расторжение трудового договора по инициативе работодателя». В соответствии с подп. 6в указанной статьи трудовой договор с работником может быть расторгнут в случае однократного грубого нарушения работником трудовых обязанностей — разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

Материальная ответственность работника наступает в случае нанесения ущерба предприятию в результате разглашения конфиденциальной информации, ставшей известной работнику в связи с исполнением им должностных (функциональных) обязанностей. В соответствии со ст. 232, 238, 242 Трудового кодекса РФ работник обязан возместить ущерб, нанесенный предприятию (работодателю). Согласно п. 7 ст. 243 кодекса, разглашение сведений, составляющих охраняемую законом тайну (коммерческую, служебную или иную), влечет за собой материальную ответственность работника в полном размере причиненного ущерба.

Административная ответственность за разглашение конфиденциальной информации, доступ к которой ограничен в соответствии с законодательством РФ, определена ст. 13.14 Кодекса Российской Федерации об административных правонарушениях.

В соответствии с положениями указанной статьи разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

на граждан — в размере от пяти до десяти минимальных размеров оплаты труда;

на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда.

Уголовная ответственность за преступления в сфере защиты государственной тайны предусмотрена ст. 275, 283, 284 гл. 29 Уголовного кодекса РФ.

Согласно ст. 275 УК РФ, выдача гражданином РФ государственной тайны иностранному государству, иностранной организации или их представителям наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработанной платы или иного дохода осужденного за период до трех лет либо без такового.

Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, без признаков государственной измены в соответствии со ст. 283 УК РФ наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет (в случае тяжких последствий — до семи лет) с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Согласно ст. 284 УК РФ, нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами или с предметами, сведения о которых составляют государственную тайну, повлекшее их утрату и наступление тяжких последствий, наказывается ограничением свободы на срок до трех лет либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

ПОЛОЖЕНИЕ

О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом Российской Федерации, Федеральным законом от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне», Федеральным законом от 27 июля 2006 № 149-ФЗ «Об информации, информатизации и защите информации», Указом Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Приказом Министерства образования и науки РФ от 23 января 2022 г. № 36 «Об утверждении порядка приема на обучение по образовательным программам среднего профессионального образования» и определяет порядок создания, обработки и хранения персональных данных сотрудников, студентов и обучающихся бюджетного профессионального образовательного учреждения Омской области «Омский колледж профессиональных технологий» (БПОУ ОКПТ) (далее – Колледж).

Колледж является образовательным учреждением среднего профессионального образования, находится в ведении Министерства образования Омской области.

Положение разработано с целью упорядочения отношений по получению и использованию Колледжем информации о сотруднике, студенте и обучающемся личного характера, формирования четких правил защиты данной информации от неправомерного ее использования.

Правила настоящего Положения регламентируют деятельность всех подразделений Колледжа, в которых обрабатываются, используются и хранятся материалы (копии документов), содержащие сведения о персональных данных.

1.2 Настоящее Положение утверждается приказом директора Колледжа и является локальным нормативным актом обязательным для выполнения всеми сотрудниками, студентами и обучающимися Колледжа.

1.3 Основные понятия, используемые в настоящем Положении:

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.

Оператор – БПОУ ОКПТ и его сотрудники, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа операторов доступа к субъектам доступа.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. БПОУ ОКПТ Система менеджмента качества Положение по колледжу Положение о защите персональных данных П-СМК-03-29-15 Лист 4 из 27                      Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Конфиденциальность персональных данных – обязательное для соблюдения оператором требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Субъект персональных данных (далее – Субъект ПД) – это владелец информации необходимой для осуществления договорных и трудовых отношений.

Субъектами персональных данных в Колледже являются:

 обучающиеся всех форм обучения;

 сотрудники состоящие с Колледжем в трудовых отношениях, в том числе

работающие в Колледже по совместительству и условиях почасовой оплаты;

 обучающиеся на хозрасчетных курсах Колледжа;

 абитуриенты, подавшие заявления о поступлении в Колледж;

 прочие физические лица, состоящие с Колледжем в договорных отношениях.

Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Колледжу в связи с трудовыми или договорными отношениями и касающаяся конкретного владельца персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Автоматизированная обработка персональных данных – операции, полностью или частично осуществляемые с применением автоматизированных средств. Автоматизированные базы данных могут быть географически разрознены и собираться воедино через компьютерные сети. Базы данных, хранящиеся в электронном виде, в большей мере, чем информация, содержащаяся на бумажном носителе, доступны для неправомерного внедрения и корректировки или для корректировки, осуществляемой в результате сбоя в компьютерной программе. Персональные данные, полученные или обрабатываемые исключительно в автоматизированном (электронном) виде, не могут быть положены в основу решения директора Колледжа, затрагивающего интересы Субъекта ПД.

1.4 Каждый сотрудник, студент и обучающийся на хозрасчетных курсах Колледжа должен быть ознакомлен под расписку с настоящим Положением, иными документами, устанавливающими порядок обработки персональных данных в Колледже, а также об их правах и обязанностях в этой области.

1.5 Основополагающими принципами защиты персональных данных в Колледже являются:

 принцип личной ответственности сотрудников, обрабатывающие персональные данные, за сохранность и конфиденциальность сведений о работе с персональными данными Субъектов ПД;                                                                                                      

 принцип разграничения доступа конкретных операторов к персональным данным Субъектов ПД;

 принцип проведения регулярных проверок наличия бумажных и электронных документов, дел и баз данных у сотрудников Колледжа и кадровых документов в подразделениях.

2.1 Конституция РФ гарантирует каждому человеку право на неприкосновенность частной жизни, личную и семейную тайну (ст. 23). При этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1 ст. 24).

2.2 Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности и иных убеждениях работника, его частной, в том числе семейной, жизни (возраст, наличие или отсутствие детей, состав семьи) запрещено и карается в соответствии с законодательством.

2.3 Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч. 4 ст. 29). Каждое из указанных прав может быть ограничено исключительно федеральным законом и только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2.4 Персональные данные субъектов как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, относятся к числу сведений конфиденциального характера (ст. 11 «Об информации, информатизации и защите информации», п. 1 Перечня, утв. Указом Президента РФ от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»).

2.5 Субъекты персональных данных и/или их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных в Колледже, а также об их правах и обязанностях в этой области.

2.6 Состав персональных данных, получаемых при оформлении договорных и трудовых отношений и в ходе профессиональной и образовательной деятельности, включает информацию (согласно ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных»):

 фамилию, имя, отчество, фотографии;

– о трудовом стаже, подтверждаемом трудовой книжкой;

– о регистрации субъекта в системе государственного пенсионного страхования, подтверждаемой страховым свидетельством государственного пенсионного страхования;

– о состоянии субъекта на воинском учете (для военнообязанных и лиц, подлежащих призыву на военную службу);

 об образовании, квалификации Субъекта ПД, наличии у него специальных знаний, подтверждаемую документами об образовании, о квалификации копии наградных листов, аттестационные листы или наличии специальных знаний (при поступлении на                    

работу, требующую специальных знаний или специальной подготовки), копии приказов о поощрениях, взысканиях, характеристики и рекомендательные письма, заявление работника об увольнении, копия приказа об увольнении регистрационные данные документа об образовании, регистрационные данные свидетельства ЕГЭ;

– о размере заработной платы;

– о наличие степеней, званий и т.д.;

– о возрасте субъекта, подтверждаемую паспортом или иным документом, удостоверяющим личность;

– о наличии или отсутствии у субъекта семейных обязанностей, что подтверждается паспортом;

– данные о дате и месте рождения; гражданстве, знании иностранного языка; состоянии в браке, составе семьи с указанием фамилии, имени, отчества, года рождения ближайших родственников;

 о документе, удостоверяющем личность субъекта (паспортные данные – серия, номер №, дата выдачи, кем выдан);

– об адресе по регистрации, об адресе фактического места жительства;

– о номере домашнего (мобильного) телефона;

 о состоянии здоровья субъекта путем проведения в установленных федеральными законами случаях медицинского освидетельствования при заключении трудового договора, договора на предоставлении образовательных услуг, периодических и внеочередных медицинских осмотров (отражается в медицинской книжке согласно приказу Роспотребнадзора от 20.05.2005 № 402 «О личной медицинской книжке и санитарном паспорте»);

– о членстве субъекта в профессиональном союзе, его профсоюзной деятельности;

– об идентификационном номере налогоплательщика – физического лица, номере страхового свидетельства в системе обязательного пенсионного страхования, а также информацию, на основании которой производятся налоговые вычеты;

– о фамилии, которая была у субъекта при рождении (ст. 6 Федерального закона от 01 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

3.1 Субъект ПД обязан:

– передавать Колледжу комплект достоверных, документированных персональных данных, состав которых установлен Трудовым Кодексом РФ от 30 декабря 2001 г. № 197-ФЗ, приказом Роспотребнадзора от 20.05.2005 № 402 «О личной медицинской книжке и санитарном паспорте», Приказом Министерства образования и науки РФ от 23 января 2022 г. № 36 «Об утверждении порядка приема на обучение по образовательным программам среднего профессионального образования»;

– своевременно сообщать оператору об изменении своих персональных данных.

3.2 Получение определенной информации о владельце ПД является обязанностью оператора. Такая информация необходима для исполнения обязанностей, возложенных на оператора Трудовым Кодексом РФ, Правилами внутреннего трудового распорядка, трудовым договором, договором образовательных услуг.

Персональные данные получаются и обрабатываются оператором в документированной форме ( фиксируются на электронном и бумажном носителе с реквизитами, позволяющими идентифицировать соответствующую информацию).                                                3.3 Обработка персональных данных субъекта ПД охватывает все стадии работы Колледжа с этими данными, от их получения до передачи иным лицам в соответствии с законодательством.

Обработка персональных данных сотрудников осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия сотрудникам в исполнении должностных обязанностей, повышении квалификации и должностном росте, обеспечения личной безопасности при исполнении должностных обязанностей, учета результатов исполнения должностных обязанностей, обеспечения социальными льготами в соответствии с законодательством и нормативными документами университета.

Обработка персональных данных всех категорий студентов и обучающихся осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, Федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в освоении образовательных программ, учета выполнения учебного плана и качества полученных знаний, содействия трудоустройству, обеспечения личной безопасности в период обучения, обеспечения социальными льготами в соответствии с законодательством и нормативными документами Колледжа.

Обработка персональных данных абитуриентов осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в оптимальном выборе образовательных программ, обеспечения соблюдения правил приема в соответствии с законодательством и нормативными документами Колледжа, гласности и открытости деятельности приемной комиссии.

3.4 В целях обеспечения прав и свобод человека и гражданина Колледж при обработке персональных данных Субъекта ПД обязан соблюдать следующие общие требования:

– обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам, студентам или обучающимся в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, выполняемой работы и обеспечения сохранности имущества. В указанных случаях письменное согласие на использование персональных данных не требуется;

– при определении объема и содержания, обрабатываемых персональных данных директор Колледжа должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом, Федеральным законом «Об образовании в РФ» и иными федеральными законами;

– все персональные данные субъекта ПД следует получать у него самого. Порядок действия в случаях получения ПД у третьей стороны описан в п. 3.7 настоящего Положения;

– Колледж не имеет права получать и обрабатывать персональные данные о его политических, религиозных и иных убеждениях и частной жизни Субъекта ПД. В случаях, непосредственно связанных с вопросами трудовых и договорных отношений, в соответствии со статьей 24 Конституции Российской Федерации Колледж вправе получать и обрабатывать данные о частной жизни Субъекта ПД только с его письменного согласия (Приложение Б, В, Д);

– Колледж не имеет права получать и обрабатывать персональные данные сотрудника, студента или обучающегося о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;

– при принятии решений, затрагивающих интересы Субъекта ПД, Колледж не имеет права основываться на персональных данных Субъекта ПД, полученных исключительно в результате их автоматизированной обработки или электронного получения;

-защита персональных данных Субъекта ПД от неправомерного их использования или утраты должна быть обеспечена за счет средств Колледжа в порядке, установленном федеральным законом;

– сотрудники, студенты и обучающиеся Колледжа должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;

– сотрудники, студенты и обучающиеся Колледжа не должны отказываться от своих прав на сохранение и защиту тайны.

3.5 При приеме на работу и заключении трудового договора, договора образовательных услуг оператор по обработке ПД получает от Субъекта ПД письменное согласие на обработку и использование, в том числе на получение от третьей стороны или передачу третьей стороне, его персональных данных исключительно в целях и на условиях, предусмотренных законодательством РФ.

3.6 Соответствующие структурные подразделения Колледжа могут вести обработку и использование персональных данных на бумажных и магнитных носителях, в электронной форме (с обеспечением защиты от несанкционированного доступа) для количественного и качественного необходимого анализа, подготовки статистической отчетности, представления руководству Колледжа оперативной информации и для других целей, предусмотренных документами, регулирующими деятельность Колледжа, и законодательством РФ.

3.7 В случае, когда персональные данные о Субъекте ПД могут быть получены исключительно у какого-либо третьего лица (государственного органа, предыдущего работодателя и т.п.), Субъект ПД должен быть извещен о предполагаемом получении запрашиваемых данных до обращения с запросом о предоставлении персональных данных. Такое извещение осуществляется в форме уведомления о будущем получении персональных данных Субъекта ПД у иного лица под расписку. При отказе Субъекта ПД от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица об этом составляется акт, который должен быть подписан лицами, предъявившими Субъекту ПД соответствующее извещение.

В извещении указываются:

 цели получения персональных данных у иного лица;

 предполагаемые источники информации (лица, у которых будут запрашиваться персональные данные);

 способы получения персональных данных, их характер;

 последствия, которые наступят, если Субъект ПД откажет Колледжу в получении персональных данных у иного лица.

3.8 Информация о частной жизни Субъекта ПД может поступать в Колледж от третьих лиц. Органы следствия могут потребовать от Колледжа отстранить от работы или учебы Субъекта ПД при совершении им аморального проступка, содержащего признаки преступления. В этом случае данные о частной жизни сотрудника приобретают значение данных предварительного следствия и могут быть использованы Колледжем, несмотря на отсутствие письменного согласия сотрудника на их обработку.

4.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

4.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

4.3 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Колледжа.

Защита персональной информации внутри Колледжа.

4.4.1 Для регламентации доступа персонала Колледжа к конфиденциальным сведениям, документами и базами данных в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных Субъектов ПД необходимо соблюдать:

 ограничение и регламентацию состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

 строгое избирательное и обоснованное распределение документов и информации между работниками;

 рациональное размещение рабочих мест работников, при которых исключается бесконтрольное использование защищаемой информации;

 знание работником требований нормативно – методических документов по защите информации и сохранении тайны;

 наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

 определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника с базами данных;

 организация порядка уничтожения информации;

 своевременное выявление нарушения требований разрешительной системы доступа к конфиденциальной информации;

 воспитательная и разъяснительная работа с сотрудниками Колледжа по предупреждению утраты и разглашению сведений при работе с персональными данными и конфиденциальными документами;

 ограничение допускается выдачи личных дел сотрудников на рабочие места руководителей;

 использование служебных съемных электронных носителей, подлежащих хранению в сейфах по окончанию работы;

 передача информации с помощью съемных электронных носителей осуществляется с разрешения руководителя подразделения с обязательной регистрацией в журнале;

 личная ответственность сотрудника за сохранность и конфиденциальность сведений о работе отдела;                                                                                           

 проведение регулярных проверок наличия традиционных и электронных документов, дел и баз данных у сотрудника отдела и кадровых документов в подразделении.

4.4.2 Все папки на электронных носителях, содержащие персональные данные Субъекта ПД, должны быть защищены паролем, который хранится у директора Колледжа, заместителя директора по научно-методической работе, начальника отдела безопасности.

Защита персональной информации от воздействия внешних факторов.

4.5.1 Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

4.5.2 Проведение комплекса мероприятий по исключению несанкционированного доступа к информационным ресурсам с целью предотвращения овладения конфиденциальными сведениями, их использованием, а также видоизменения, уничтожения, внесения вирусов, подмены, фальсификации содержания, реквизитов документа.

4.5.3 Под посторонними лицами понимаются любые лица, не имеющее непосредственного отношения к деятельности Колледжа, посетители, в том числе работники других структурных подразделений.

4.5.4 Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и мест хранения документов.

4.5.5 Для защиты персональных данных Субъектов ПД необходимо соблюдать:

– порядок приема, учета и контроля деятельности посетителей;

– пропускной режим;

– учет и порядок выдачи документов;

– технические средства охраны, сигнализации;

– порядок охраны территории, зданий, помещений, транспортных средств;

– требования к защите информации при интервьюировании и собеседованиях.

4.5.6 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

4.5.7 Операторы, связанные с получением, обработкой и защитой персональных данных обязаны принять обязательство о неразглашении персональных данных Субъектов ПД Колледжа (Приложение А).

4.6 По составу конфиденциальных сведений и основных направлений защиты персональных данных, в отделах Колледжа, выделяются две большие группы документации: документация по организации работы отделов и документация, содержащая персональные данные в единичном или сводном виде.

Первая группа включает в себя положение об отделе, должностные инструкции, приказы, распоряжения, указания директора Колледжа, регламентирующие структуру отделов и распределение сфер ответственности между его сотрудниками, рабочие инструкции по выполнению основных функций отделов. К их числу относятся также дела с документацией по планированию, учету, анализу и отчетности в части основной деятельности отделов.

Вторая группа – это:

 пакеты документов, сопровождающие процесс оформления трудовых правоотношений работника (при приеме на работу, переводе, увольнении);

 пакеты документов, сопровождающие процесс заключения договора об образовательных услугах;

 пакет материалов по анкетированию, тестированию, проведению собеседований;

 подлинники и копии приказов по личному составу;

 личные дела и трудовые, зачетные книжки Субъектов ПД;

 дела, содержащие основания к приказам по составу сотрудников, студентов и обучающихся;

 дела, содержащие материалы аттестации сотрудников, служебных расследований и т.п.;

 справочно-информационный банк данных по Субъектам ПД (картотеки, журналы, электронные банки информации);

 подлинники и копии отчетных, аналитических и справочных материалов, передаваемых директору Колледжа, руководителям структурных подразделений и служб;

 копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

4.7 Персональные данные хранятся в документированной форме, характер которой определяется, согласно нормативным документам, директором Колледжа.

В соответствии с Постановление Госкомстата РФ от 05 января 2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» к числу документов по учету кадров сотрудников относятся:

– приказ о приеме сотрудника на работу;

– личная карточка сотрудника;

– штатное расписание;

– учетная карточка педагогического сотрудника;

– приказ о переводе сотрудника на другую работу;

– приказ о предоставлении отпуска сотруднику;

– график отпусков;

– приказ о прекращении действия трудового договора с сотрудником;

– приказ о направлении сотрудника в командировку;

– командировочное удостоверение;

-служебное задание для направления в командировку и отчет о его выполнении.

Стандартизированными документами по учету использования рабочего времени и расчетов по оплате труда являются:

 табель учета использования рабочего времени;

 расчетно-платежная ведомость;

 расчетная ведомость;

 платежная ведомость;

 журнал регистрации платежных ведомостей;

 приказ о поощрении сотрудника.

 лицевой счет;

 записка-расчет о предоставлении отпуска работнику;

 записка-расчет при прекращении действия трудового договора с сотрудником;

 акт о приемке работ, выполненных по трудовому договору, заключенному на время выполнения определенной работы.

Приказы по движению контингента обучающихся оформляются в соответствии с установленными формами ГОСТ Р 6.30-2003 «Унифицированные система организационно распорядительной документации. Требования к оформлению документов».                   4.8 Главным условием защиты персональных данных является четкая регламентация функций работников отделов и, в соответствии с этим, регламентация принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.

По каждой функции, выполняемой сотрудниками отделов, должен быть регламентирован состав документов, дел и баз данных, с которыми этот сотрудник имеет право работать. Не допускается, чтобы сотрудник мог знакомиться с любыми документами и материалами отдела.

4.8.1 Операции по оформлению, формированию, ведению и хранению личных дел сотрудников выполняются специалистом по кадрам, который несет личную ответственность за сохранность документов в делах и доступ к делам других сотрудников. Материалы, связанные с анкетированием, проведением собеседований с кандидатами на должность, помешаются не в личное дело принятого сотрудника, а в специальное дело, имеющее гриф “Конфиденциально”.

Специалист по кадрам ведет учет выдачи дел. Личное дело должно обязательно иметь опись документов, включенных в дело. Листы дела нумеруются в процессе формирования дела. Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью специалиста по кадрам (ответственного лица).

Ознакомление с делами осуществляется в помещении отдела кадров под наблюдением специалиста по кадрам, ответственного за сохранность и ведение личных дел. Сотрудник Колледжа имеет право знакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные.

В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью специалиста по кадрам (ответственного лица).

Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее подшитыми.

Расчетные листы по заработной плате выдаются лично в руки сотруднику Колледжа. Контроль над работой со справочно-информационным банком данных по персоналу Колледжа (картотеками, журналами и книгами персонального учета сотрудников) осуществляется специалистом по кадрам. В связи с использованием автоматизированного типа данного банка в отделах ведется комплекс страховых и резервных машиночитаемых и бумажных копий, включенных в банк учетных форм.

Руководители соответствующих отделов при разработке положений о деятельности отдела, составлении должностных и рабочих инструкций обязаны учитывать указанные требования.

4.8.2 Операции по оформлению, формированию, ведению и хранению личных дел студентов и обучающихся выполняются ответственным секретарем приемной комиссии и секретарем учебной части, методистом хозрасчетного отделения, которые несут личную ответственность за сохранность документов в делах и доступ к делам других сотрудников. Материалы, связанные с анкетированием, проведением собеседований с Субъектами ПД, помещаются не в личное дело, а в специальное дело, имеющее гриф “Конфиденциально”.

Ответственными ведѐтся учет выдачи дел. Личное дело должно обязательно иметь опись документов, включенных в дело. Листы дела нумеруются в процессе формирования дела. Все новые записи в дополнении к личному листку по учету и учетных формах заверяются росписью ответственного лица.                                                                         Ознакомление с делами осуществляется в помещении приемной комиссии, в кабинете секретаря учебной части и кабинете методиста хозрасчетного отделения под наблюдением ответственного за сохранность и ведение личных дел. Субъект имеет право знакомиться только со своим личным делом, учетными карточками, отражающими его персональные данные.

В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью ответственного лица.

Замена документов в личном деле кем бы то ни было запрещается. Новые исправленные документы, помещаются вместе с ранее подшитыми.

Контроль над работой со справочно-информационным банком данных Субъектов ПД (картотеками, журналами и книгами персонального учета) осуществляется сотрудниками, назначенными приказом директора Колледжа. Руководители соответствующих отделов при разработке положений о деятельности отдела, составлении должностных и рабочих инструкций обязаны учитывать указанные требования.

4.9 Документы, содержащие информацию о конкретном Субъекте ПД, соединяются в его личном деле. Порядок его ведения и хранения устанавливается законом РФ и настоящим Положением.

4.10 Документом, содержащим персональные данные сотрудника о его трудовой деятельности и трудовом стаже, является трудовая книжка, которая хранится отдельно от личного дела. Документ, содержащий персональные данные студента о его учебной деятельности, является зачетная книжка, журналы теоретического и практического обучения, которые хранятся отдельно от личного дела (зачетные книжки хранятся у заведующих отделениями, журналы теоретического и практического обучения у заведующего учебной частью и заведующих производственной практикой). Документы, содержащие персональные данные обучающегося о его учебной деятельности, являются журналы теоретического и практического обучения, которые хранятся отдельно от личного дела.

4.11 Работу по сбору, обработке, хранению и использованию персональных данных субъекта ПД осуществляют:

 специалист по кадрам (сбор, обработка, хранение и использование);

 бухгалтерия (обработка, хранение и использование);

 приемная комиссия (сбор, обработка, хранение и использование);

 хозрасчетный отдел (сбор, обработка, хранение и использование);

 учебно-производственный отдел (сбор, обработка, хранение и использование);

 учебно-воспитательный отдел (сбор, обработка, хранение и использование);

 общий отдел (сбор, обработка, хранение и использование);

 архив (сбор, обработка, хранение и использование)

 библиотека (сбор, обработка, хранение и использование).

4.12 В указанных подразделениях приказом директора Колледжа назначаются лица, ответственные за сохранность документов, материалов, содержащих сведения о персональных данных Субъектов ПД. Ответственными лицами должны предприниматься все необходимые меры для воспрепятствования несанкционированного доступа к такой информации других лиц, в том числе путем создания особого режима доступа в помещения, где хранится соответствующая информация.

4.13 Хранение персональных данных Субъектов ПД Колледжа в период их работы или обучения осуществляется обособленными структурными подразделениями Колледжа, БПОУ ОКПТ Система менеджмента качества Положение по колледжу Положение о защите персональных данных П-СМК-03-29-15 Лист 14 из 27                                             перечисленными в п.4.11. в их личных делах, на бумажных и электронных носителях в оборудованных для этих целей помещениях и в закрывающихся шкафах.

4.14 В Колледже дела, картотеки, учетные журналы и книги учета хранятся в рабочее и нерабочее время в запирающихся шкафах. Сотрудникам не разрешается при выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми.

4.15 На рабочем столе сотрудника Колледжа, обрабатывающего ПД, должен всегда находиться только тот массив документов, с которым в настоящий момент он работает. Другие документы, дела, карточки, журналы должны находиться в запертом шкафу. Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в папки, на которых указывается вид производимых с ними действий (подшивка в личные дела, для отправки и пр.).

4.16 В конце рабочего дня все документы, дела, листы бумаги и блокноты с рабочими записями, инструктивные и справочные материалы должны быть убраны в шкафы, сейфы, которые запираются и опечатываются печатью данного сотрудника Колледжа. На рабочем столе не должны оставаться служебные документы и другие документы, содержащие персональные данные. Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются, таким образом, который не позволил бы их восстановить.

Печати, штампы, бланки документов, ключи от рабочих шкафов хранятся только в сейфах отела.

4.17 Электронные документы, содержащие персональные данные, после завершения работы должны быть закрыты и удалены с рабочего стола.

4.18 Персональные компьютеры, на которых обрабатываются и хранятся ПД, должны быть обеспечены кодом доступа, который известен только оператору, непосредственно работающему на данном персональном компьютере, руководителю структурного подразделения и заместителю директора по научно-методической работе.

4.19 Системные блоки, на которых хранятся и обрабатываются ПД, должны быть опечатаны.

4.20 В конце рабочего дня персональные компьютеры должны быть отключены от сети электропитания.

4.21 Сдачу на сигнализацию и снятие с сигнализации помещений, где хранятся и обрабатываются ПД Колледжа, осуществляют ответственные за помещение.

4.22 Уборка помещений, где обрабатываются ПД, допускается только в присутствии сотрудников Колледжа.

4.23 При работе с документами, содержащими информацию о персональных данных должны строго соблюдаться требования настоящего Положения и стандарта СОУ-СМК 02-04-01-08 «Управление документацией».

4.24 На документах, выходящих за пределы Колледжа в бумажном виде, может ставиться гриф «Конфиденциально» или «Для служебного пользования». В Колледже обязательно остаются копии всех отчетных и справочных документов.

4.25 Отчеты и документы, содержащие ПД, в электронном виде передаются:

 через глобальную сеть Интернет только с помощью программ, кодирующих информацию;

 на служебных электронных носителях, с обязательной регистрацией в журнале с указанием перечня информации, хранящейся на данном носителе, даты и времени выноса, ФИО сотрудника, выносящего информацию, названия организации, для которой предназначена данная информация.

В Колледже обязательно остаются копии электронных документов                               4.26 В структурных подразделениях Колледжа могут быть следующие документы, содержащие персональные данные:

 журнал табельного учета с указанием должностей, фамилий, инициалов сотрудников (находится у работника, ведущего табельный учет);

 штатное расписание, в котором дополнительно может указываться, кто из сотрудников занимает ту или иную должность, вакантные должности (находится у директора, главного бухгалтера и специалиста по кадрам), размер заработной платы, структура подразделения разрабатывается в соответствии со штатным расписанием;

 дело с выписками из приказов по личному составу, касающимися подразделения;

 журналы теоретического и практического обучения;

 экзаменационные и зачетные ведомости оценок;

 журналы классного руководителя;

 журналы посещаемости обучающихся;

 списки обучающихся;

 зачетные книжки.

Помимо указанных документов в подразделениях Колледжа могут быть: заявления, докладные, служебные, объяснительные.

По истечении установленного срока использования документа в конкретном подразделении, он передается на хранение в архив.

Руководители подразделений могут иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон и др.). Все перечисленные документы следует хранить в сейфах в соответствующих делах, включенных в номенклатуру и имеющих гриф ограничения доступа.

4.27 В целях устранения нарушений законодательства, допущенных при обработке персональных данных, а также уточнения, блокирования и уничтожения персональных данных, Колледж обязан:

 При выявлении недостоверных персональных данных или неправомерных действий с ними по запросу Субъекта ПД, его представителя, либо уполномоченного органа по защите прав субъектов персональных данных, осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

 В случае подтверждения факта недостоверности персональных данных, на основании документов, представленных сотрудником, студентом или обучающемся, его представителем или уполномоченным органом по защите прав Субъектов ПД, уточнить персональные данные и снять их блокирование.

4.28 При выявлении неправомерных действий с персональными данными, в срок, не превышающий трех рабочих дней с момента обнаружения, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений – уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных, уведомить Субъекта ПД или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав Субъектов ПД, указанный орган.

4.29 В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных работодатель обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между БПОУ ОКПТ Система менеджмента качества                                                        Колледжем и Субъектом ПД. Об уничтожении персональных данных оператор обязан уведомить Субъекта ПД.

4.30 Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

5.1 Работодатель принимает на себя обязанность создавать условия, обеспечивающие исполнение сотрудникам Колледжа указанных выше подразделений своих должностных функций по защите охраняемой законом тайны. С этой целью устанавливаются следующие правила работы с документами и материалами, содержащими сведения о персональных данных в помещениях подразделений, где собирается, обрабатывается и хранится такая информация:

– Прием работников, студентов, посетителей осуществляется только в те часы, которые ежедневно выделяются для этой цели в соответствии с особенностями работы конкретного подразделения. Информация о часах работы с указанными лицами должна вывешиваться на видном месте в каждом подразделении. В другое время в помещении не могут находиться посторонние лица, в том числе студенты и сотрудники Колледжа.

– Во время приема посетителей работники подразделения не должны выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На столе сотрудника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя. В случае возникновения нестандартной ситуации сотрудник должен незамедлительно оповестить непосредственного руководителя структурного подразделения.

– Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону. Ответы на официальные письменные запросы других учреждений и организаций даются в письменной форме на бланке Колледжа и фиксируются в журнале исходящих документов.

– При выдаче справки с места работы необходимо удостовериться в личности работника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка. За получение справки работник Колледжа расписывается в журнале учета выдачи справок.

– При выдаче справки с места учебы обучающемуся, необходимо удостовериться в личности студента, которому эта справка выдается. Не разрешается выдавать ее родственникам или третьим лицам, которым требуется справка. За получение справки обучающийся Колледжа расписывается в журнале учета выдачи справок.

– Для получения информации о персональных данных конкретного работника, студента и обучающегося Колледжа сотрудник, которому такая информация необходима в связи с осуществлением должностных обязанностей, должен обратиться с письменным запросом к специалисту, ответственному за обработку и хранение персональных данных в соответствующем подразделении.

Строго запрещено передавать по просьбе обучающегося информацию о персональных данных преподавателей и других работников.

5.3 Поступающие в Колледж запросы (ответы либо отказы на запросы) подлежат регистрации в журнале регистрации входящих документов в установленном порядке. Запрос должен содержать конкретный перечень необходимых сведений и цель получения таких сведений. При наличии согласия Субъекта ПД на обработку персональных данных ответственный специалист готовит и передает письменную информацию, лично работая с БПОУ ОКПТ Система менеджмента качества Положение по колледжу Положение о защите персональных данных П-СМК-03-29-15 Лист 17 из 27                                              документами и материалами. В случае отсутствия согласия Субъекта ПД на обработку персональных данных в ответ на запрос высылается уведомление (Приложение Г). Передача в руки другому сотруднику Колледжа документов, дел, материалов, а равно вынос с места их хранения запрещается.

5.4 Личные дела субъектов ПД могут выдаваться на рабочее место только директору Колледжа.

5.5 Руководители подразделений могут знакомиться с личными делами, иными документами, содержащими персональные сведения о работниках, находящихся в их непосредственном подчинении, только в присутствии ответственного лица.

5.6 Факт ознакомления фиксируется ответственным специалистом.

5.7 Выдача личных дел субъектов ПД для ознакомления директору Колледжа допускается по его личному запросу на срок не более одного рабочего дня. Дела выдаются под роспись в контрольной карточке. Передача личных дел и запрос информации через секретарей руководителей не допускается. При возврате дела проверяется сохранность документов.

5.8 Субъект ПД имеет право знакомиться только со своим личным делом, и трудовой книжкой, документами, отражающими его персональные данные.

5.9 Размещение ответственными специалистами информации о персональных данных субъектов ПД в папках с общим доступом через локальную сеть Колледжа строго запрещено. Настоящее требование не распространяется на информацию, подготовленную к размещению непосредственно Субъектом ПД (портфолио), либо с его участием в целях презентации его деятельности, морального поощрения, поздравления.

5.10 Запрещается работа на одном ПК двух и более пользователей с различными трудовыми функциями, если работа одного из них связана с обработкой персональных данных.

5. 11 Запрещается доверять пароли доступа к информации посторонним лицам.

5.12 Пользователь, обрабатывающий персональные данные, обязан по завершению работы сразу уничтожать файлы с компьютера общего доступа.

6.1 При передаче персональных данных работника Колледж должен соблюдать следующие требования:

 не сообщать персональные данные Субъекта ПД третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта ПД, а также в случаях, установленных федеральным законом;

 не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

 предупредить лиц, получающих персональные данные субъекта о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие информацию с персональными данными, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами;                                                             

 не запрашивать информацию о состоянии здоровья субъекта за исключением тех сведений, которые относятся к вопросу о возможности выполнения трудовой деятельности и получения образования;

 в случае развода бывшая супруга (супруг) имеют право официально обратиться в организацию с письменным запросом о размере заработной платы субъекта без его согласия. (УК РФ).

6.2 Получателями персональных данных работника на законном основании являются:

– Фонд социального страхования РФ.

– Пенсионный фонд РФ.

– Военно-учетные столы.

– Медицинская страховая компания.

– Налоговые органы.

– Федеральная инспекция труда.

– Иные органы государственного надзора и контроля за соблюдением законодательства о труде.

– Органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.

– Правоохранительные органы, прокуратура, суды в случаях, предусмотренных законом.

Предоставление информации уполномоченным должностным лицам указанных органов осуществляется только на основании письменного запроса, а в случаях личного обращения – при предъявлении служебного удостоверения с соблюдением правил, предусмотренных настоящим Положением.

ПРАВА СУБЪЕКТА ПД В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1 В целях обеспечения защиты персональных данных, хранящихся у Колледжа, субъекты имеют право на:

– полную информацию об их персональных данных и обработке этих данных;

– свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

– определение своих представителей для защиты своих персональных данных;

– доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона. При отказе Колледжа исключить или исправить персональные данные субъекта, последний имеет право заявить в письменной форме Колледжу о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;

– требование об извещении Колледжем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;

– обжалование в суд любых неправомерных действий или бездействия Колледжа при обработке и защите его персональных данных.

7.2 Право субъекта на доступ к своим персональным данным ограничивается в случае, если:

– обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

– предоставление персональных данных нарушает конституционные права и свободы других лиц.

8.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:

– если сотрудником, ответственным в организации за хранение персональных данных, допущена ситуация, при которой информация о владельце ПД стала известна другим физическим лицам, без умысла, ненамеренно, ответственный может быть привлечен как к административной, так и к дисциплинарной ответственности. Пп. «в» п.6 ст.81 ТК РФ предусматривают основание, наделяющее Колледжа правом расторжения трудового договора по своей инициативе при разглашении охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей;

– к материальной ответственности за виновное нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных работника, могут привлекаться как Колледж, так и работники, непосредственно обрабатывающие персональные данные.

8.2 Лица, виновные в нарушении правил работы с персональными данными субъекта, могут привлекаться к административной ответственности по следующим основаниям:

– неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих его права и свободы, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП);

– нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП);

– нарушение правил защиты информации (ст. 13.12 КоАП);

– разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП).

8.3 Уголовная ответственность за нарушение правил работы с персональными данными гражданина может наступить в следующих случаях:

– незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении БПОУ ОКПТ           или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан (ст. 137 УК РФ);

– неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ).            Приложение А

Бланк обязательства о неразглашении персональных данных работников

Обязательство о неразглашении персональных данных работников

Я, _____________________________________________________________, паспорт серии ________, номер ____________, выданный _______________________________________________ «____» ___________ ______ года, получая доступ к персональным данным сотрудников БПОУ ОКПТ понимаю, что при исполнении своих должностных обязанностей, буду заниматься сбором, обработкой и хранением персональных данных сотрудников.

Я понимаю, что разглашение такого рода информации может нанести как прямой, так и косвенный ущерб сотрудникам колледжа.

В связи с этим, даю обязательство, при работе с персональными данными сотрудников колледжа, соблюдать требования «Положения о защите персональных данных студентов и работников колледжа».

Я подтверждаю, что без письменного согласия субъекта персональных данных, не имею права разглашать и передавать третьим лицам:

– анкетные и биографические данные;

– образование;

– сведения о трудовом стаже;

– сведения о составе семьи;

– паспортные данные;

– сведения о воинском учете;

– сведения о заработной плате;

– сведения о социальных льготах;

– специальность;

– занимаемая должность;

– наличие судимостей;

– адрес места жительства;

– домашний телефон;

– место работы или учебы членов семьи и родственников;

– характер взаимоотношений в семье;

– содержание трудового договора;

– состав декларируемых сведений о наличии материальных ценностей;

– содержание декларации, подаваемой в налоговую инспекцию;

– подлинники и копии приказов по личному составу;

– личные дела и трудовые книжки сотрудников;

– основания к приказам по личному составу;

– дела, содержащие материалы по повышению квалификации и переподготовке сотрудников;

– аттестации сотрудников и материалы к служебным расследованиям;

– копии отчетов, направляемые в органы статистики;

– биометрические данные (фотографии).

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных сотрудника или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса РФ, ст. 24. Федерального Закона РФ «О персональных данных»

С «Положением о защите персональных данных» ознакомлен (а).

«____» __________ 20___ г. ____________________ (_____________________________)    Приложение Б

С О Г Л А С И Е

на обработку персональных данных абитуриентов

бюджетного профессионального образовательного учреждения Омской области

«Омский колледж профессиональных технологий»

Я_____________________________________________________________________________________________________________________________________________________________________________________

(фамилия, имя, отчество)

______________________________________________________________________________________________________________________________________________________________________________________

(серия и номер паспорта, когда и кем выдан)

в соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 года № 152–ФЗ «О персональных данных» даю письменное согласие на обработку моих персональных данных, а именно:

1. Персональные данные, содержащиеся в заполненной мною анкете, в соответствии с законодательством Российской Федерации в области среднего профессионального образования и Правилами приема в Федеральное государственное образовательное учреждение

2. Медицинская справка установленного образца (по требованию).

3. Сведения о результатах ЕГЭ.

4. Сведения о льготах.

5. Фотографии для личного дела.

6. Прочие документы, предоставленные мной, в соответствии с Правилами приема в БПОУ «Омский колледж профессиональных технологий», в том числе характеристики, направления, сведения о наградах и т.п.

Целью обработки персональных данных является обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействие в оптимальном выборе образовательных программ, обеспечение соблюдения правил приема в соответствии с законодательством и нормативными документами колледжа, гласности и открытости деятельности приемной комиссии.

Обработка персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации.

Срок действия согласия на обработку персональных данных: с момента подачи документов в приемную комиссию до выхода приказа о зачислении студентом на соответствующую специальность, либо до добровольного отзыва моих документов из приемной комиссии.

Для осуществления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в общедоступные сведения: фамилия, имя, отчество, биометрические данные (только фотографии), курс, номер группы, учебные и внеучебные достижения, адрес регистрации и адрес проживания, номер телефона, результаты психолого-педагогической диагностики.

Оператор, осуществляющий обработку персональных данных: Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий».

Со всеми пунктами настоящего соглашения ознакомлен и согласен.

________________________________________________________________________

(подпись, расшифровка подписи и дата)

____________________________

1 О порядке отзыва согласия из ФЗ «О персональных данных» (№152-ФЗ) «в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трѐх рабочих дней с даты поступления указанного отзыва, если иное предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных»                                                                               Продолжение приложения Б1

С О Г Л А С И Е

на обработку персональных данных абитуриентов

бюджетного профессионального образовательного учреждения Омской области

«Омский колледж профессиональных технологий»

Я, ______________________________________________________________________________________

(фамилия, имя, отчество)

________________________________________________________________________________________

(серия и номер паспорта, когда и кем выдан)

Являюсь законным представителем несовершеннолетнего (несовершеннолетней) _________________________________________________________________________________________

(фамилия, имя, отчество)

_________________________________________________________________________________________

(серия и номер паспорта, когда и кем выдан)

в соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 года № 152 –ФЗ «О персональных данных» даю письменное согласие на обработку персональных данных, несовершеннолетнего (несовершеннолетней) _________________________________________________________________________________________

(фамилия, имя, отчество)

а именно:

1. Персональные данные, содержащиеся в заполненной мною анкете, в соответствии с законодательством Российской Федерации в области среднего профессионального образования и Правилами приема в Федеральное государственное образовательное учреждение

2. Медицинская справка установленного образца (по требованию).

3. Сведения о результатах ЕГЭ.

4. Сведения о льготах.

5. Фотографии для личного дела.

6. Прочие документы, предоставленные мной, в соответствии с Правилами приема в Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий», в том числе характеристики, направления, сведения о наградах и т.п.

Целью обработки персональных данных является обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействие в оптимальном выборе образовательных программ, обеспечение соблюдения правил приема в соответствии с законодательством и нормативными документами колледжа, гласности и открытости деятельности приемной комиссии.

Обработка персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации.

Срок действия согласия на обработку персональных данных: с момента подачи документов в приемную комиссию до выхода приказа о зачислении студентом на соответствующую специальность, либо до добровольного отзыва моих документов из приемной комиссии.

Для осуществления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в общедоступные сведения: фамилия, имя, отчество, биометрические данные(только фотографии), курс, номер группы, учебные и внеучебные достижения, адрес регистрации и адрес проживания, номер телефона, результаты психолого-педагогической диагностики.

Оператор, осуществляющий обработку персональных данных: Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий».

Со всеми пунктами настоящего соглашения ознакомлен и согласен.

____________________________________________________________________________________

(подпись, расшифровка подписи и дата)

______________________

1 О порядке отзыва согласия из ФЗ «О персональных данных» (№152-ФЗ) «в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трѐх рабочих дней с даты поступления указанного отзыва, если иное предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных                                                                           Приложение В

С О Г Л АС И Е

на обработку персональных данных обучающихся в бюджетном профессиональном образовательном учреждении Омской области «Омский колледж профессиональных технологий».

(фамилия, имя, отчество)

________________________________________________________________________________________,

(серия и номер паспорта, когда и кем выдан)

в соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 года № 152 –ФЗ «О персональных данных» даю письменное согласие на обработку моих персональных данных, а именно:

1. Персональные данные, предоставленные мной при подаче заявления о зачислении на обучение в колледж, в соответствии с законодательством Российской Федерации в области среднего профессионального образования и Правилами приема в Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий».

2. Сведения о воинском учете.

3. Сведения о доходах, налогах и социальных льготах.

4. Сведения об ИНН, страховых свидетельствах государственного пенсионного и медицинского страховании.

5. Фотографии для личного дела, студенческого билета и зачетной книжки, снимки общественных мероприятий.

6. Форма обучения, специальность, номер группы в колледже.

7. Данные по успеваемости и выполнению учебного плана.

8. Данные о договоре (дополнениям к нему) на получение образовательных услуг.

9. Данные по выданным документам о полученном в колледже образовании.

10. Данные о трудоустройстве.

11. Сведения о поощрениях и наложенных дисциплинарных взысканиях.

12.Адрес электронной почты (в колледже) и идентификатор для доступа в компьютерную сеть колледжа.

13. Результаты медицинских обследований.

14. Администрирование и контроль трафика Интернета.

15. Результаты посещения библиотеки колледжа.

16. Информация о родителях (фамилия, имя, отчество, дата рождения, адрес проживания, телефон, место работы)

Целью обработки персональных данных является обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в освоении образовательных программ, учета выполнения учебного плана и качества полученных знаний, содействия трудоустройству, обеспечения личной безопасности в период обучения, обеспечения социальными льготами в соответствии с законодательством и нормативными документами колледжа.

Для осуществления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в общедоступные сведения: фамилия, имя, отчество, биометрические данные (только фотографии), курс, номер группы, учебные и внеучебные достижения, адрес регистрации и адрес проживания, номер телефона.

Обработка персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации. Срок действия согласия на обработку персональных данных: на период обучения в колледже.

Оператор, осуществляющий обработку персональных данных: Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий».

Я ознакомлен с «Положением о защите персональных данных». Со всеми пунктами настоящего соглашения ознакомлен и согласен.

___________________________________________________________________________________

(подпись, расшифровка подписи и дата) БПОУ ОКПТ Система менеджмента качества Положение по колледжу Положение о защите персональных данных П-СМК-03-29-15 Лист 25 из 27

Приложение Г

Бланк уведомления

Куда:__________________________________________________________

Кому:__________________________________________________________

УВЕДОМЛЕНИЕ

В связи с отсутствием согласия субъекта персональных данных на предоставление сведений инициатору обращения, в соответствии со статьями 7 и 9 Федерального закона «О персональных данных» сообщить запрашиваемую Вами информацию в отношении гр. _____________________________________________________________________________

(указать Ф.И.О.)

не представляется возможным.

Директор БПОУ ОКПТ С.В. Угрюмов

«___»__________ ________г                                                                     Приложение Д

Бланк соглашения на обработку персональных данных сотрудников

Директору БПОУ ОКПТ

Угрюмову С.В

От __________________________

_____________________________

(Ф.И.О)

Согласие на обработку персональных данных

Настоящим во исполнение требований статьи 9 Федерального закона от 27.07.2006 г. “О персональных данных” № 152-ФЗ, я, гражданин РФ ____________________________________________ Ф.И.О., ____ ____________ ________года рождения, паспорт ___________ ________ выдан ______________________ «____»____________г. адрес регистрации: _____________________________ даю согласие Федеральному государственному образовательному учреждению среднего профессионального образования «Омскому колледжу профессиональных технологий» (ФГОУ СПО «ОмКПТ»), место нахождения: 644073 г. Омск, ул. Дианова, 33, на обработку моих персональных данных включающих: фамилию, имя, отчество, пол, дату рождения, образование, адрес проживания. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Под персональными данными я понимаю любую информацию, относящуюся ко мне как к субъекту данных, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под обработкой персональных данных я понимаю сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение и любые другие действия (операции) с персональными данными. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов). А также оператор имеет право на обмен (прием и передачу) моих персональных данных со страховой медицинской организацией с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка осуществляется лицом, обязанным сохранять профессиональную тайну. Для осуществления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в общедоступные сведения: фамилия, имя, отчество, биометрические данные (только фотографии), должность, научно-практические достижения, ученая степень, служебный телефон, адрес электронной почты. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку, в срок, не превышающий трѐх рабочих дней с даты поступления указанного отзыва.

Настоящее согласие дано мной действует бессрочно или до момента отзыва согласия.

Со всеми пунктами настоящего соглашения ознакомлен и согласен.

(Ф.И.О)

«_____» __________ 20___ год _____________________________

Подпись

1.Собственником информации не может быть: а) государство; б) юридическое ли- цо; в) группа физических лиц; г) физическое лицо; д) ответы а – г правильны; е) нет правильного ответа.

2. Терминология в сфере защиты информации регулируется а) ГОСТ Р 6.30 – 2003 б) ГОСТ 51141 – 98 в) ГОСТ 50922 – 96 г) Гражданским кодексом.

3. Заранее намеченный результат защиты информации – это а) замысел защиты информации; б) цель защиты информации; в) уровень эффективности защиты ин- формации.

4. Содержание и порядок действий, направленных на обеспечение защиты ин- формации – это а) мероприятие по защите информации; б) система защиты ин- формации в) организация защиты информации.

5. Субъект, осуществляющий владение и пользование информацией и реализую- щий полномочия распоряжения в пределах прав, установленных законом и (или) собственником информации – это а) носитель информации б) собственник ин- формации в) владелец информации д) пользователь информации

6. В настоящее время по степени конфиденциальности можно классифицировать информацию, а) составляющую коммерческую тайну; б) составляющую государ- ственную тайну; в) составляющую служебную тайну; г) составляющую профес- сиональную тайну. 

7. В каких областях деятельности может быть государственная тайна а) военной б) образовательной в) экономической г) контрразведывательной д) внешнеполи- тической е) внутриполитической ж) разведывательной з) оперативно-розыскной и) экологической к) правильны все ответы.

8. Классифицированный список типовой и конкретной ценной информации о вы- полняемых работах, производимой продукции, научных и деловых идеях, техно- логических новшествах – это а) перечень ценных и конфиденциальных докумен- тов организации б) перечень конфиденциальных сведений организации в) пере- чень типовых документов, образующихся в деятельности организации.

9. Органи- зацией конфиденциального делопроизводства непосредственно занимаются: а) все сотрудники организации в меру своих сил и обязанностей б) служба безопас- ности в) сектор конфиденциального делопроизводства в составе службы безопас- ности г) первый руководитель организации д) постоянно действующая экспертная комиссия е) комиссии по проверке наличия, состояния и учета документов

10. Кто имеет право давать разрешение на ознакомление со всеми видами конфи- денциальных документов организации всем категориям сотрудников и другим лицам? а) руководитель службы безопасности б) первый руководитель организа- ции в) руководитель сектора конфиденциального делопроизводства в составе службы безопасности г) правильны все варианты

11. Для работы сотруднику подразделения понадобились конфиденциальные све- дения и документы другого подразделения. Кто должен дать разрешение на озна- комление со сведениями и документами? а) непосредственный начальник этого сотрудника б) заместитель руководителя организации, курирующий данное на- правление в) начальник подразделения, содержащего необходимые конфиденци- альные сведения и документы г) только первый руководитель организации.

12. Конфиденциальные документы уничтожаются, если а) они являются испол- ненными б) истек срок их конфиденциальности в) истек срок их хранения

13. Отправка нешифрованного конфиденциального документа по факсу а) не до- пускается б) допускается в) допускается, если на документе стоит гриф конфи- денциальности

14. При проверках наличия конфиденциальных документов: а) проверяют только документы, не трогая дела и иные носители конфиденциальной информации, т.к. в противном случае проверки буду

т очень громоздкими и долговременными б) проверяют документы и дела, не трогая иные носители конфиденциальной ин- формации, т.к. все, что связано с компьютерными технологиями, будет проверено специалистами по компьютерной безопасности в) проверяют документы и дела, а также иные носители конфиденциальной информации.

15. а). Основные угрозы доступности информации: непреднамеренные ошибки пользователей; б). злонамеренное изменение данных; в). хакерская атака; г).отказ программного и аппаратно обеспечения; д). разруше- ние или повреждение помещений перехват данных 16. Суть компрометации информации – это: а).внесение изменений в базу данных, в результате чего пользователь лишается доступа к информации; б).несанкционированный доступ к передаваемой информации по каналам связи и уничтожения содержания передаваемых сообщений; в).внесение несанкциониро- ванных изменений в базу данных, в результате чего потребитель вынужден либо отказаться от неё, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений.

17. Информационная безопасность автоматизированной системы – это состояние автоматизированной системы, при котором она, … а). с одной стороны, способна противостоять воздействию внешних и внутренних информационных угроз, а с другой – ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды; б). с од- ной стороны, способна противостоять воздействию внешних и внутренних ин- формационных угроз, а с другой – затраты на её функционирование ниже, чем предполагаемый ущерб от утечки защищаемой информации; в). способна проти- востоять только информационным угрозам, как внешним так и внутренним; г). способна противостоять только внешним информационным угрозам.

18. Методы повышения достоверности входных данных – это: а). замена процесса ввода значения процессом выбора значения из предлагаемого множества; б). отказ от использования данных; в).проведение комплекса регламентных работ; г). ис- пользование вместо ввода значения его считывание с машиночитаемого носителя;

19. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ): а). МЭ были разработаны для активной или пассивной защиты, а СОВ – для активного или пассивного обнаружения; б). МЭ были разработаны для ак- тивного или пассивного обнаружения, а СОВ – для активной или пассивной за- щиты; в).МЭ работают только на сетевом уровне, а СОВ – еще и на физическом.

20. Сервисы безопасности выполняют: а).идентификацию и аутентификацию; б).шифрование; в). инверсию паролей; г). контроль целостности; д). регулирова- ние конфликтов.

21. Под угрозой удаленного администрирования в компьютерной сети понимается угроза …а). несанкционированного управления удаленным компьютером; б).внедрения агрессивного программного кода в рамках активных объектов Web- страниц; в).перехвата или подмены данных на путях транспортировки вмешательства в личную жизнь; г).поставки неприемлемого содержания

22. Причины возникновения ошибки в данных: а).Погрешность измерений; б).Ошибка при записи результатов измерений в промежуточный документ; в).Неверная интерпретация данных; г). Ошибки при переносе данных с промежу- точного документа в компьютер; д).Использование недопустимых методов анали- за данных; е).Неустранимые причины природного характера.

23. К формам защиты информации не относится…а). аналитическая; б). правовая; в). организационно-техническая; г). страховая.

24. Наиболее эффективное средство для защиты от сетевых атак… а). использова- ние сетевых экранов или «firewall»; б). использование антивирусных программ; в). посещение только «надёжных» Интернет-узлов; г). использование только сер- тифицированных программ-броузеров при доступе к сети Интернет.

25. Информация, составляющая государственную тайну не может иметь гриф… а). «для служебного пользования»; б). «секретно»; в). «совершенно секретно»; г). «особой важности».

26. Разделы современной кpиптогpафии: а). Симметричные криптосистемы; б). Криптосистемы с открытым ключом; в). Криптосистемы с дублированием защи- ты; г). Системы электронной подписи; д). Управление паролями; е). Управление передачей данных; ж). Управление ключами.

27. Документ, определивший важнейшие сервисы безопасности и предложивший метод классификации информационных систем по требованиям безопасности: а). рекомендации X.800; б). Оранжевая книга; в). Закон «Об информации, информа- ционных технологиях и о защите информации».

28.. Утечка информации – это …а). несанкционированный процесс переноса ин- формации от источника к злоумышленнику; б). процесс раскрытия секретной ин- формации; в). процесс уничтожения информации; г). непреднамеренная утрата носителя информации.

29. Основные угрозы конфиденциальности информации: а). маскарад; б). карна- вал; в). переадресовка; г). перехват данных; д). блокирование; е). злоупотребления полномочиями.

30. Элементы знака охраны авторского права: а). буквы С в окружности или круг- лых скобках; б). буквы P в окружности или круглых скобках; в). наименования (имени) правообладателя; г). наименование охраняемого объекта; д). наименова- ние года первого выпуска программы.

31. Защита информации обеспечивается применением антивирусных средств: а). да; б). нет; в). не всегда.

32. Средства защиты объектов файловой системы основаны на…а). определении прав пользователя; б). на операции с файлами и каталогами; в). задании атрибутов файлов и каталогов, независящих от прав пользователей

33. Вид угрозы– … угроза: а). активная; б). пассивная; в). интерактивная.

34. Преднамеренная угроза безопасности информации – это… а). кража; б).наводнение; в). повреждение кабеля, по которому идет передача, в связи с по- годными условиями; г). ошибка разработчика.

35. Концепция системы защиты от информационного оружия не должна вклю- чать…а). средства нанесения контратаки с помощью информационного оружия; б). механизмы защиты пользователей от различных типов и уровней угроз для на- циональной информационной инфраструктуры; в). признаки, сигнализирующие о возможном нападении; г). процедуры оценки уровня и особенностей атаки против национальной инфраструктуры в целом и отдельных ее пользователей.

36.. В соответствии с нормами российского законодательства защита информации представляет собой принятие правовых, организационных и технических мер, на- правленных на …а). обеспечение защиты информации от неправомерного досту- па, уничтожения, модифицирования, блокирования, копирования, предоставле- ния, распространения, а также от иных неправомерных действий в отношении та- кой информации; б). реализацию права на доступ к информации» соблюдение норм международного права в сфере информационной безопасности; в). выявление нарушителей и привлечение их к ответственности; г). соблюдение  конфиденциальности информации ограниченного доступа; д). разработку методов и усовершенствование средств информационной безопасности.

37. Свойства информации в форме сообщения, часто используемые при организа- ции хакерских атак: а).идеальность; б). субъективность; в). не уничтожаемость; г). динамичность;

38. Поставьте в порядке важности национальные интересы: а). информационное обеспечение государственной политики Российской Федерации; б). Развитие со- временных информационных технологий, отечественной индустрии информации; в). Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею; г). Защита информационных ресурсов от несанкционированного доступа.

39. К какому классу информационных ресурсов относятся автоматизированные рабочие места проектировщиков? А). Документы; б). Персонал; в). Организаци- онные единицы; г). Промышленные образцы; д). Научный инструментарий

40. Какой метод обеспечения информационной безопасности отсутствует в пе- речне : а). Организационный; б). Правовой; в). Технический; в). Экономический; д). Идеологический.