Сфера деятельности практически любой компании неразрывно связана с обработкой персональных данных сотрудников и предполагает наличие системы документооборота. 

Обеспечение сохранности данных, составляющих коммерческую, государственную, профессиональную или другую тайну – одна из главных задач, стоящая перед собственником или руководителем.

Поговорим о проверке знаний по вопросам информационной безопасности, учете обучения.

Цель и направленность занятий

Для защиты секретных данных и сохранения их целостности локальными правовыми положениями утверждается порядок обучения сотрудников правилам безопасности.

Инструкции о правилах безопасности с целью формирования и поддержания необходимого уровня квалификации персонала разрабатывают с учетом: 

• требований закона;
• стандартов защиты информации;
• применяемых технологий;
• степени секретности данных и доступа сотрудников к документации, имеющей стратегическое значение.

Регулярное обучение и проверка знаний о защите данных, влияет на:

• эффективность применяемых методов для обеспечения информационной безопасности в организации;
• скорость обработки и передачи данных, что может отражаться на результативности производственной деятельности;
• предотвращение и снижение риска утечки сведений, доступа к документам посторонних;
• снижение потенциальных недостатков при обработке информации.

Как часто нужно проводить обучение специалистов

Выделяют несколько этапов обучения по вопросам безопасности использования и обработки данных, периодичность которого регламентирована. Обязательно проводят вводное, первичное, повторное обучение методам защиты с помощью информационных технологий. Остальные – целевые и внеплановые проводятся независимо от того, сколько времени прошло после первичной или повторной проверки знаний.

Вводный инструктаж

После подписания трудового договора с новыми сотрудниками, студентами, проходящими производственную практику, гражданами, направленными центром занятости на выполнение общественных работ, проводят вводное занятие. По сути, оно носит ознакомительный характер.

Инструктируемый получает общее представление:

• о правилах организации труда, внутреннем распорядке, правовых актах, регламентирующих деятельность и защиту данных;
• о мерах, принимаемых для обеспечения защищенности сведений, способах ведения работ;
• о порядке действий при возникновении рисков утечки или нарушения целостности базы данных, сбоя в работе автоматизированной системы безопасности; 
• о порядке оповещения руководства в случае возникновения чрезвычайных ситуаций, угрожающих жизни и здоровью людей, уничтожению или искажению данных;
• о прочих нюансах, связанных с деятельностью организации.

В журнал под личную подпись вновь принятого сотрудника вносят за порядковым номером запись, где должны быть зафиксированы:

• дата ознакомления с инструкцией;
• персональные данные инструктируемого лица – фамилия, имя, отчество полностью;
• должность, наименование структурного подразделения, являющегося постоянным рабочим местом сотрудника по условиям трудового договора; 
• сведения о должностном лице организации, проводившем обучение и проверку знаний.

Первичное ознакомление с правилами и обязанностями

Его проводит сотрудник, компетентный в вопросах защиты информации по письменному распоряжению руководителя перед допуском нового специалиста к выполнению профессиональных обязанностей на рабочем месте.

Инструкция включает детальное описание правил поведения работника с учетом специфики его деятельности, доступа к конфиденциальным и прочим данным.

Первичное обучение может включать:

• инструктирование по использованию персонального компьютера;
• порядок обработки персональных данных других сотрудников или клиентов, доступных специалисту для выполнения трудовых обязанностей;
• способы передачи сообщений;
• правила хранения документации особой важности;
• знакомство с используемыми на рабочем месте предупреждающими сигналами.

Ознакомление с правилами, касающимися вопросов защиты сведений обязательно, если к безопасности документов, доступных сотруднику по роду деятельности, предъявляются повышенные требования.

В журнале делают отметку о прохождении подготовки вновь принятого сотрудника, указывают дату его допуска к выполнению профессиональных обязанностей.

Повторная проверка знаний 

Каждые три года с персоналом, имеющим доступ к данным, утеря или распространение которых может нанести ущерб организации, ее сотрудникам и клиентам, проводится повторное обучение. Проверяют знания индивидуально или у сразу у всей группы специалистов, выполняющих схожие обязанности.

Целевое обучение

При необходимости выполнения сотрудником работы, не входящей в его ежедневные трудовые обязанности, с ним обязаны провести целевое занятие, акцентируя внимание на необходимых мерах защиты данных.

Внеплановая проверка знаний 

В процессе деятельности могут потребоваться дополнительные меры для обеспечения должного уровня знаний и навыков сотрудников, работающих с информационными системами, программным обеспечением организации, имеющих доступ к базам данных, секретной документации.

Внеплановые занятия, независимо от квалификации и стажа работы сотрудника, проводят:

• в случае введения новых инструкций, касающихся обеспечения защиты информации, внесения изменений в действующие правовые акты;
• при смене используемых носителей информации;
• при длительном перерыве в работе (например, в случае продолжительной болезни специалиста);
• при модернизации технологических процессов и внедрении новых автоматизированных систем для обеспечения безопасности;
• после выявленных нарушений правил пользования и передачи данных, прочих требований закона.

Требования к документальной регистрации проведения занятий и проверки знаний

Унифицированных форм ведения учета обучения не существует. Руководствуясь общими правилами делопроизводства, в специально заведенном журнале нумеруют страницы. Документ прошивают, скрепляют концы, заверяют подписью ответственного лица, руководителя организации, печатью (при наличии).

В разграфленную форму в порядке очередности вносят записи, для которых указывают:

• дату и вид обучения;
• данные об инструктируемом лице;
• наименование инструкции;
• сведения о лице, проводившем инструктаж.

Обязательно оставляют графы для подписей ответственного и прошедшего обучение. 

***

Эффективность принятой в компании политики защиты информации во многом зависит от отношения сотрудников. Чтобы в будущем можно было правомерно привлечь к ответственности работников, виновных в утечке информации, важно своевременно обучать их правилам и проверять знания.

09.06.2020