Журнал проведения инструктажа по информационной безопасности

Главная — Информационная безопасность — Основы ИБ — Документы по информационной безопасности — Инструкции по информационной безопасности — Журнал проведения инструктажа по информационной безопасности

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Сфера деятельности практически любой компании неразрывно связана с обработкой персональных данных сотрудников и предполагает наличие системы документооборота.

Обеспечение сохранности данных, составляющих коммерческую, государственную, профессиональную или другую тайну – одна из главных задач, стоящая перед собственником или руководителем.

Поговорим о проверке знаний по вопросам информационной безопасности, учете обучения.

Цель и направленность занятий

Для защиты секретных данных и сохранения их целостности локальными правовыми положениями утверждается порядок обучения сотрудников правилам безопасности.

Инструкции о правилах безопасности с целью формирования и поддержания необходимого уровня квалификации персонала разрабатывают с учетом:

требований закона;
стандартов защиты информации;
применяемых технологий;
степени секретности данных и доступа сотрудников к документации, имеющей стратегическое значение.

Регулярное обучение и проверка знаний о защите данных, влияет на:

эффективность применяемых методов для обеспечения информационной безопасности в организации;
скорость обработки и передачи данных, что может отражаться на результативности производственной деятельности;
предотвращение и снижение риска утечки сведений, доступа к документам посторонних;
снижение потенциальных недостатков при обработке информации.

Как часто нужно проводить обучение специалистов

Выделяют несколько этапов обучения по вопросам безопасности использования и обработки данных, периодичность которого регламентирована. Обязательно проводят вводное, первичное, повторное обучение методам защиты с помощью информационных технологий. Остальные – целевые и внеплановые проводятся независимо от того, сколько времени прошло после первичной или повторной проверки знаний.

Вводный инструктаж

После подписания трудового договора с новыми сотрудниками, студентами, проходящими производственную практику, гражданами, направленными центром занятости на выполнение общественных работ, проводят вводное занятие. По сути, оно носит ознакомительный характер.

Инструктируемый получает общее представление:

о правилах организации труда, внутреннем распорядке, правовых актах, регламентирующих деятельность и защиту данных;
о мерах, принимаемых для обеспечения защищенности сведений, способах ведения работ;
о порядке действий при возникновении рисков утечки или нарушения целостности базы данных, сбоя в работе автоматизированной системы безопасности;
о порядке оповещения руководства в случае возникновения чрезвычайных ситуаций, угрожающих жизни и здоровью людей, уничтожению или искажению данных;
о прочих нюансах, связанных с деятельностью организации.

В журнал под личную подпись вновь принятого сотрудника вносят за порядковым номером запись, где должны быть зафиксированы:

дата ознакомления с инструкцией;
персональные данные инструктируемого лица – фамилия, имя, отчество полностью;
должность, наименование структурного подразделения, являющегося постоянным рабочим местом сотрудника по условиям трудового договора;
сведения о должностном лице организации, проводившем обучение и проверку знаний.

Первичное ознакомление с правилами и обязанностями

Его проводит сотрудник, компетентный в вопросах защиты информации по письменному распоряжению руководителя перед допуском нового специалиста к выполнению профессиональных обязанностей на рабочем месте.

Инструкция включает детальное описание правил поведения работника с учетом специфики его деятельности, доступа к конфиденциальным и прочим данным.

Первичное обучение может включать:

инструктирование по использованию персонального компьютера;
порядок обработки персональных данных других сотрудников или клиентов, доступных специалисту для выполнения трудовых обязанностей;
способы передачи сообщений;
правила хранения документации особой важности;
знакомство с используемыми на рабочем месте предупреждающими сигналами.

Ознакомление с правилами, касающимися вопросов защиты сведений обязательно, если к безопасности документов, доступных сотруднику по роду деятельности, предъявляются повышенные требования.

В журнале делают отметку о прохождении подготовки вновь принятого сотрудника, указывают дату его допуска к выполнению профессиональных обязанностей.

Повторная проверка знаний

Каждые три года с персоналом, имеющим доступ к данным, утеря или распространение которых может нанести ущерб организации, ее сотрудникам и клиентам, проводится повторное обучение. Проверяют знания индивидуально или у сразу у всей группы специалистов, выполняющих схожие обязанности.

Целевое обучение

При необходимости выполнения сотрудником работы, не входящей в его ежедневные трудовые обязанности, с ним обязаны провести целевое занятие, акцентируя внимание на необходимых мерах защиты данных.

Внеплановая проверка знаний

В процессе деятельности могут потребоваться дополнительные меры для обеспечения должного уровня знаний и навыков сотрудников, работающих с информационными системами, программным обеспечением организации, имеющих доступ к базам данных, секретной документации.

Внеплановые занятия, независимо от квалификации и стажа работы сотрудника, проводят:

в случае введения новых инструкций, касающихся обеспечения защиты информации, внесения изменений в действующие правовые акты;
при смене используемых носителей информации;
при длительном перерыве в работе (например, в случае продолжительной болезни специалиста);
при модернизации технологических процессов и внедрении новых автоматизированных систем для обеспечения безопасности;
после выявленных нарушений правил пользования и передачи данных, прочих требований закона.

Требования к документальной регистрации проведения занятий и проверки знаний

Унифицированных форм ведения учета обучения не существует. Руководствуясь общими правилами делопроизводства, в специально заведенном журнале нумеруют страницы. Документ прошивают, скрепляют концы, заверяют подписью ответственного лица, руководителя организации, печатью (при наличии).

В разграфленную форму в порядке очередности вносят записи, для которых указывают:

дату и вид обучения;
данные об инструктируемом лице;
наименование инструкции;
сведения о лице, проводившем инструктаж.

Обязательно оставляют графы для подписей ответственного и прошедшего обучение.

***

Эффективность принятой в компании политики защиты информации во многом зависит от отношения сотрудников. Чтобы в будущем можно было правомерно привлечь к ответственности работников, виновных в утечке информации, важно своевременно обучать их правилам и проверять знания.

09.06.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.