К какой ответственности может быть привлечен работник за нарушение правил иб принятых в компании сдо

К какой ответственности может быть привлечен работник, если нарушил требования инструкции по работе на компьютере (противодействие хакерским атакам)

Распечатать

В связи с участившимися хакерскими атаками, организация  разработала инструкцию, в которой перечислены
действия, которые запрещено выполнять работнику при  использовании компьютера (открывать
электронные письма от неизвестных контрагентов, открывать страницы определенных
сайтов и т.п.). Работник ознакомился с данной инструкцией и подписал её.

Вопрос

К какой ответственности может быть привлечен работник
в случае нарушения инструкции и может ли работодатель в случае такого нарушения
взыскать с работника какие-либо убытки?

Ответ юриста

Трудовые
и другие непосредственно связанные с ними отношения регулируются трудовым
законодательством, включая законодательство об охране труда, иными нормативными
правовыми актами, содержащими нормы трудового права, а также коллективными
договорами, соглашениями и локальными нормативными актами, содержащими нормы трудового
права (ст. 5 ТК РФ).

Трудовой
кодекс РФ не содержит определения локальных нормативных актов.

Как
следует из ч. 1 ст. 8 ТК РФ, локальные нормативные акты, содержащие нормы
трудового права (далее — локальные нормативные акты или ЛНА), принимают работодатели
(за исключением работодателей — физических лиц, не являющихся индивидуальными
предпринимателями) в пределах своей компетенции в соответствии с трудовым
законодательством, иными нормативными правовыми актами, содержащими нормы
трудового права, коллективными договорами, соглашениями.

Наиболее
распространенные формы таких актов — положение, правила и инструкция.

Локальные
нормативные акты можно разделить, например, на следующие виды:

—
обязательные — состав таких актов определен трудовым законодательством.
Трудовой кодекс РФ содержит прямое указание на принятие подобных документов
(например, ст. 189, ч. 2 ст. 135 ТК РФ);

—
необязательные — такие документы прямо не предусмотрены трудовым
законодательством, работодатель принимает их по своему усмотрению (например,
Положение о добровольном медицинском страховании, Положение об организации
детского отдыха).

Путеводитель
по кадровым вопросам. Порядок разработки и утверждения локальных нормативных
актов организации {КонсультантПлюс}

Работники
должны быть ознакомлены под подпись со всеми локальными нормативными актами,
принимаемыми в организации и непосредственно связанными с их трудовой
деятельностью (абз. 10 ч. 2 ст. 22 ТК РФ).

Подтвердить
факт ознакомления работников с локальными актами можно несколькими способами.

—
Подписью работника на листе ознакомления. Также должны быть указаны его
фамилия, имя, отчество и дата ознакомления. Этот лист прилагается к каждому
локальному нормативному акту, нумеруется, прошивается и скрепляется печатью и
подписью должностного лица.

—
Подписью работника на отдельном документе — журнале ознакомления работников с
локальными нормативными актами. В отличие от листа ознакомления этот журнал
предусматривает возможность ознакомления работников с несколькими локальными
нормативными актами.

—
Подписью работника на листе ознакомления, являющемся приложением к трудовому
договору.

Путеводитель
по кадровым вопросам. Порядок разработки и утверждения локальных нормативных
актов организации {КонсультантПлюс}

Работодатель
имеет право привлекать работников к материальной ответственности в порядке,
установленном Трудовым кодексом РФ и иными федеральными законами (абз. 6 ч. 1
ст. 22 ТК РФ).

Согласно
ч. 1 ст. 238 ТК РФ работник обязан возместить работодателю причиненный ему
прямой действительный ущерб.

Путеводитель
по кадровым вопросам. Материальная ответственность работника {КонсультантПлюс}

Для
привлечения работника к материальной ответственности необходимо соблюдение
условий, предусмотренных ст. 233 ТК РФ:

—
наличие прямого действительного ущерба, подтвержденного соответствующими
документами;

—
вина работника в причинении работодателю такого ущерба. Под виной понимаются
умысел или неосторожность в действиях работника, которые привели к
возникновению ущерба у работодателя. Умысел состоит в том, что работник знал
(предполагал) о возникновении у работодателя прямого действительного ущерба от
его действий;

—
совершение работником неправомерных действий (или бездействия), т.е. нарушающих
нормы законодательства;

—
наличие причинной связи между действиями работника и возникшим у работодателя
прямым действительным ущербом.

То,
что соблюдение всех указанных условий обязательно для привлечения работника к
материальной ответственности, подтверждается и судебной практикой (см.
Определение Санкт-Петербургского городского суда от 03.11.2011 N
33-16427/2011).

Путеводитель
по кадровым вопросам. Материальная ответственность работника {КонсультантПлюс}

Статьей
241 ТК РФ установлены пределы материальной ответственности работника. Согласно
данной норме работник, с которым не заключен договор о полной материальной
ответственности, несет ответственность в пределах своего месячного заработка.
Материальная ответственность в полном размере причиненного работодателю ущерба
может возлагаться на работника только в случаях, предусмотренных Трудовым
кодексом РФ и иными федеральными законами. Подробнее об этом см. п. 3
настоящего материала.

Ограниченная
материальная ответственность означает, что работник обязан возместить сумму,
которая не превышает размера его средней заработной платы за месяц, независимо
от размера причиненного ущерба (см. Определение Московского областного суда от
17.06.2010 по делу N 33-11823).

Путеводитель
по кадровым вопросам. Материальная ответственность работника {КонсультантПлюс}

За
совершение дисциплинарного проступка, т.е. за виновное неисполнение или
ненадлежащее исполнение работником своих трудовых обязанностей, к нему можно
применить три вида взысканий (ч. 1 ст. 192 ТК РФ):

—
замечание (менее строгая мера ответственности);

—
выговор (более строгая мера ответственности);

—
увольнение.

Путеводитель
по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение
{КонсультантПлюс}

Работодатель
может применять дисциплинарные взыскания за совершение дисциплинарного
проступка, то есть неисполнение или ненадлежащее исполнение работником по его
вине возложенных на него трудовых обязанностей (абз. 1 ч. 1 ст. 192 ТК РФ).

Основные
права и обязанности работника перечислены в ст. 21 ТК РФ. В частности, он
должен добросовестно исполнять трудовые обязанности, возложенные на него
трудовым договором, соблюдать правила внутреннего трудового распорядка,
дисциплину труда. Это следует из абз. 1 — 4 ч. 2 названной статьи. Под
дисциплиной труда понимается обязательное для всех работников подчинение
правилам поведения, определенным в соответствии с Трудовым кодексом РФ, иными
федеральными законами, коллективным договором, соглашениями, локальными
нормативными актами, трудовым договором (ч. 1 ст. 189 ТК РФ). Следует
учитывать, что для отдельных категорий работников действуют уставы и положения
о дисциплине, которые установлены федеральными законами (ч. 5 ст. 189 ТК РФ).

Правила
поведения работников могут быть закреплены, например, в правилах внутреннего
трудового распорядка или иных локальных нормативных актах, действующих у
работодателя. Это следует из положений ч. 1 ст. 8, абз. 7 ч. 1 ст. 22, ст. 189
ТК РФ. Работник в силу требований абз. 10 ч. 2 ст. 22 ТК РФ должен быть
ознакомлен под подпись с такими документами. Аналогичные выводы содержатся в
Письме Минтруда России от 16.09.2016 N 14-2/В-888.

Путеводитель
по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение
{КонсультантПлюс}

Служебный
компьютер предоставляется для использования работнику на основании локального
нормативного акта работодателя (приказа, инструкции, правил внутреннего
трудового распорядка), которым определяются цели и порядок использования
работником данного имущества. Согласно ст. 21 ТК РФ работник обязан бережно
относиться к имуществу работодателя и других работников, причем не только в
рабочее время, но и в период времени отдыха.

В
соответствии со ст. 192 ТК РФ на работника может быть наложено дисциплинарное
взыскание за неисполнение или ненадлежащее исполнение работником по его вине
возложенных на него трудовых обязанностей, которые закреплены в трудовом
договоре, должностной инструкции, иных локальных нормативных актах, действующих
у конкретного работодателя.

{Вопрос:
…В организации установлен перерыв с 13 до 14 часов. Работник организации в
перерыве со служебного компьютера посещает социальные сети, играет в
онлайн-игры. Вправе ли организация привлечь работника к дисциплинарной
ответственности за это? (Консультация эксперта, 2014) {КонсультантПлюс}}

Таким
образом, если соответствующее положение закреплено в инструкции, то работодатель
вправе привлечь работника к дисциплинарной ответственности за нарушение пунктов
данной инструкции. Также работодатель в данной ситуации имеет право привлекать
работников к материальной ответственности при соблюдение условий,
предусмотренных ст. 233 ТК РФ.

Подборка документов:

Вопрос:
…В организации установлен перерыв с 13 до 14 часов. Работник организации в
перерыве со служебного компьютера посещает социальные сети, играет в
онлайн-игры. Вправе ли организация привлечь работника к дисциплинарной
ответственности за это? (Консультация эксперта, 2014) {КонсультантПлюс}

Вопрос:
Работник использует служебный компьютер в личных целях во время обеденного
перерыва. Можно ли в связи с этим привлечь его к дисциплинарной
ответственности? (Консультация эксперта, 2013) {КонсультантПлюс}

Ситуация:
Когда работник несет материальную ответственность перед работодателем?
(«Электронный журнал «Азбука права», 2018) {КонсультантПлюс}

Путеводитель
по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение
{КонсультантПлюс}

Путеводитель
по кадровым вопросам. Материальная ответственность работника {КонсультантПлюс}

Разъяснение дано в рамках услуг «ЛИНИИ
КОНСУЛЬТАЦИЙ» консультантом по правовым вопросам ООО НТВП «Кедр-Консультант»
Макшаковым Игорем Борисовичем, апрель 
2018 г.

При подготовке ответа использована СПС
КонсультантПлюс.

Данное разъяснение не является официальным и
не влечет правовых последствий, предоставлено в соответствии с Регламентом
ЛИНИИ КОНСУЛЬТАЦИЙ (www.ntvpkedr.ru).

СДО для вагонников

Ответы для вагонников на часто встречающиеся вопросы в системе дистанционного образования ОАО«РЖД» (http://sdo.rzd.ru)

Skip to content

В Поездку

Управление и ответственность в системах защиты информации от утечки

По статистике в трех из пяти случаев ответственность за утечку информации лежит на сотруднике компании. Причем, он может даже и не подозревать об этом, т.к. часто инциденты происходят в результате неумышленных действий. Но есть в компании и сотрудники, на которых зачастую возлагают ответственность за утечку информации, независимо от того, по его вине это произошло, или нет. Это — специалисты (офицеры) по информационной безопасности (далее — ИБ), отвечающие за работу систем, обеспечивающих защиту информации компании (в том числе и DLP-систем). Правильно ли это? За что отвечает офицер информационной безопасности при наличии системы DLP в компании? Какие меры ответственности могут применяться к сотрудникам, допустившим утечки конфиденциальных данных? С этими вопросами разбираются эксперты компании Solar Dozor, разработавшей DLP-систему, занимающую одну из лидирующих позиций по уровню продаж на российском рынке.

Управление событиями и инцидентами в системах защиты от утечки информации

В современных DLP все это максимально автоматизировано. При внедрении решения в нем задаются правила и политики, по которым фильтруется контент, и обрабатываются события, происходящие в защищаемой системе. DLP следит за 3 видами сущностей: люди, информация и нарушения. Все, что происходит в защищаемом периметре, — это события (отправка файлов, переписка, копирование каких-то файлов на внешние носители и так далее). Каждое событие анализируется по установленным правилам и политикам. В случае обнаружения отклонений возникает инцидент информационной безопасности. На этом этапе управление переходит к специалисту по ИБ (офицеру ИБ). Инцидент обрабатывается, и на основе полученных результатов принимается решение (назначение расследования, блокировка определенных действий для пользователя, усиление контроля и так далее).

Конечно, офицер по ИБ вмешивается в процесс не только при возникновении инцидента. Все события, происходящие в защищаемом периметре, отображаются у него на консоли DLP-решения. Если специалист видит, какие-то отклонения, он может принимать меры, не дожидаясь сигнала от системы защиты от утечек.

Зона ответственности специалиста по ИБ при использовании DLP-решения в компании

Обеспечение информационной безопасности и защиты от утечек, в частности, — вопрос серьезный. При внедрении DLP-системы и других решений в области ИБ эксперты рекомендуют придерживаться следующих советов:

• ответственность за защиту от утечек конфиденциальных данных не должна быть дополнительной нагрузкой для IT-специалистов в добавок к их основному профилю. Эксперты не рекомендуют в целях экономии «навешивать» такие функции, например, на системных администраторов или сотрудников службы технической поддержки. За работу DLP-системы и других решений должен отвечать отдельный специалист (группа сотрудников);

• у специалистов по информационной безопасности должны быть соответствующие полномочия для полноценного проведения расследований инцидентов и достаточные «рычаги влияния» на процессы внутри компании. Но все делается в меру. Слишком много полномочий — тоже не всегда хорошо. Чтобы найти баланс между возможностями, предоставляемыми офицерам ИБ, и их ответственностью, стоит проанализировать опыт других компаний и проконсультироваться с экспертами;

• в сфере ИБ, как и в других, желательно организовать разделение функций сотрудников. Целесообразно сделать так, чтобы, например, администрированием средств защиты и методологическим управлением процессами занимались разные специалисты. В случае с DLP это реализуется путем внедрения двух «линий» безопасности. При обнаружении у события признаков инцидента ИБ оно поступает на обработку офицеру первой линии. Он принимает решение — «пропустить» событие, как безопасное, или классифицировать его как инцидент. Во втором случае событие поступает на обработку специалистам второго уровня, которые проводят расследования. В некоторых компаниях, использующих DLP, эти функции и ответственность за расследование утечек информации совмещаются. Но все зависит от размера организации, характера данных, с которыми она работает, и ряда других факторов.

Конечно же, не стоит забывать о регулярном обучении и повышения квалификации специалистов, работающих с DLP, а также иными средствами обеспечения ИБ. Угрозы постоянно эволюционируют, появляются новые средства и способы несанкционированного сбора конфиденциальной информации. А значит, сотрудники, на которых ложится ответственность за предотвращение и обнаружение утечек информации, должны иметь соответствующий уровень подготовки.

Также эксперты отмечают важность развитого «эмоционального интеллекта» специалистов по информационной безопасности. Важны не только прикладные навыки. Такой специалист должен уметь грамотно коммуницировать с сотрудниками компании, независимо от должности, находить подход к каждому собеседнику, уметь анализировать поведение, настроение и так далее.

Ответственность рядовых сотрудников за утечки

Одна из составляющих успешного внедрения системы защиты от утечек информации — понимание сотрудниками о том, что они несут ответственность за подобные действия. Не стоит надеяться на эффективность скрытого контроля. Сотрудник, знающий о том, что в компании налажен контроль за его действиями, и ответственность за утечку информации неотвратима, будет принимать необходимые меры для предотвращения инцидентов.

Еще один аргумент в пользу необходимости оповещения работников об использовании средств обеспечения ИБ, и DLP, в частности, — требования законодательства. Работодатель обязан оповещать сотрудников об использование средств контроля. А системы защиты от утечек как раз относятся к ним, т.к. могут контролировать рабочее время, действия сотрудников с файлами, переписку и другие параметры.

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

1.1 — 1.2. Утратили силу. — Федеральный закон от 29.12.2022 N 572-ФЗ.

(см. текст в предыдущей редакции)

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

4. Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона.

(часть 4 введена Федеральным законом от 02.07.2013 N 187-ФЗ; в ред. Федерального закона от 24.11.2014 N 364-ФЗ)

(см. текст в предыдущей редакции)

5. Лица, права и законные интересы которых были нарушены владельцем социальной сети в результате неисполнения им требований, установленных в статье 10.6 настоящего Федерального закона, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

(часть 5 введена Федеральным законом от 30.12.2020 N 530-ФЗ)

Компания, понимающая ценность информации как актива, должна прилагать все усилия для обеспечения конфиденциальности данных. Ключевым звеном каждого процесса становятся участвующие в нем люди, сотрудники организации. Деятельность персонала по защите ИБ должны обеспечивать правила информационной безопасности на предприятии. Они различаются в зависимости от того, идет речь об офисе или о производстве. Специальные правила требуется вводить для обеспечения безопасности при работе на удаленном доступе.

Необходимость внедрения правил информационной безопасности

Киберугрозы стали привычной частью окружающего мира, каждый день СМИ приносят сообщения о хакерских атаках и сбоях в работе банков или почтовых серверов. Степень реальной опасности отдельный сотрудник компании мало представляет, пока не столкнется с тем, что утекли охраняемые персональные данные или конкуренты при помощи DDoS-атаки остановили работу прибыльного интернет-магазина. Данные утекают у таких мировых гигантов информационной индустрии, как IBM, Yahoo!, Uber, Amazon, Equifax вне зависимости от уровня защищенности их информационных систем. Часто в этом виноваты китайские хакеры или транснациональные хакерские группировки. Российскому бизнесу, чьи объекты не относятся к критически важным для информационной инфраструктуры страны, не стоит опасаться именно их, но и национальные группировки способны доставить немало неприятностей. Но наибольший риск несет несанкционированный доступ к данным со стороны сотрудников, часто не представляющих реальной ценности сознательно передаваемой или случайно уничтожаемой ими информации.

Тщательная разработка правил информационной безопасности для офиса и производства частично способны снизить степень риска. Обучение сотрудников основам ИБ проводят даже на АЭС, где персонал априори должен быть подготовлен к неожиданностям. Все это говорит о первоочередной необходимости информирования сотрудников и регламентации их поведения при работе с защищаемыми информационными массивами и объектами сетевой инфраструктуры.

Правила ИБ в офисе

Правила информационной безопасности для офиса не самые сложные, но степень ответственности сотрудников не всегда гарантирует их безусловное выполнение. Это значит, что внедрение правил должно сопровождаться мотивационными мерами, стимулирующими их выполнение, и депремированием, дисциплинарной ответственностью в случае невыполнения.

Информирование

Первым правилом ИБ в офисе должно стать информирование сотрудников. Инсайдерские утечки данных не менее опасны, чем внешние нападения. Менеджеры по продажам, увольняясь, уносят с собой базы данных клиентов, а сотрудники мобильных операторов с легкостью торгуют детализацией телефонных разговоров абонентов. О размере риска говорит объем рынка даркнета, измеряемый сотнями миллионов долларов в год только для российских ресурсов. Известный российский рынок торговли краденой информацией, Hydra, даже собирался провести ICO.

Всем пользователям корпоративной системы должны быть известны простые правила безопасности:

• использовать и периодически менять сложные пароли, никогда не передавать средства идентификации – пароль и логин – другим сотрудникам;
• не хранить в «облаках» конфиденциальную информацию, даже если нужно поработать с годовым отчетом из дома;
• уничтожать ненужные документы в шредере;
• не передавать информацию без официального запроса;
• не смешивать корпоративную и личную почту;
• архивировать важные файлы;
• блокировать компьютер перед уходом с рабочего места;
• уметь распознавать фишинговые письма;
• ознакомиться с практиками социальной инженерии и не поддаваться им.

Тестирование в игровой форме на знание правил информационной безопасности на предприятии позволит превратить теоретические сведения в сложившиеся навыки. Вторым важным способом поддержания необходимого уровня информационной безопасности в офисе станет контроль доступа.

Контроль доступа

Это решение реализуется на физическом, аппаратном и программном уровнях. Действует правило: никто не должен иметь больше привилегий, чем допускается его должностной инструкцией. Юристу не нужен доступ к бухгалтерским программам, а программисту – к чату руководства. Системные администраторы должны реализовать дифференцированную модель доступа, назначив каждому пользователю и группе пользователей роль, при которой доступными ему окажутся только определенные файлы и ресурсы. То же относится к правам администраторов.

Комплексный подход

Это правило должно стать незыблемым для системных администраторов и разработчиков структур информационной безопасности. Невозможно устранять уязвимости и недочеты частичными решениями, латая прорехи одну за другой до тех пор, пока администрирование системы станет невозможным. Необходимо с самого начала выстраивать ИБ как единую с систему с учетом возможностей ее роста и прогнозированием направлений дальнейшего развития. Система должна включать единый комплекс организационных, технических и программных средств и контролироваться как единое целое.

Правила ИБ при работе на удаленном доступе к сети

Самостоятельной проблемой становится регламентация работы сотрудников на удаленном доступе. Современному бизнесу присуще стремление к минимизации затрат, на компанию могут работать сотни разработчиков и программистов, находящихся в разных странах и на одной виртуальной площадке занимающихся разработкой программного обеспечения. Такое размывание периметра информационной безопасности очень опасно, так как конкуренты всерьез заинтересованы в несанкционированном доступе к новым разработкам.

В 2016 году на выставке Mobile World Congress разработчик антивируса с открытым кодом Avast провела небольшой эксперимент, создав три открытые точки подключения Wi-Fi со знакомыми именами Starbucks, MWC Free WiFi и Airport_Free_Wifi_AENA. К ним подключилось 2 000 человек, декларирующих себя профессионалами в сфере информационных технологий. По завершении выставки был проведен доклад, из которого следовало, что авторам схемы удалось получить данные о трафике всех подключившихся, а 63 % раскрыли свои логины, пароли, адреса электронной почты. Это говорит о том, что удаленное подключение через общедоступную Сеть редко бывает безопасным.

Во многих компаниях даже штатные сотрудники зачастую работают на удаленном доступе, находясь в командировке или в отпуске. 

Существуют правила, позволяющие сделать такие удаленные рабочие отношения максимально безопасными:

• исключить возможность использования удаленными сотрудниками для подсоединения к корпоративной сети открытых Wi-Fi-сетей, в которых возможен перехват трафика;
• домашние сети сотрудников должны быть защищены паролями и шифрованием как минимум уровня WPA2. В компании необходимо разработать правила информационной безопасности для удаленных сотрудников для защиты домашних сетей;
• подключение для мобильных устройств к корпоративной сети должно происходить только по каналам VPN. Компании желательно самой выбрать надежного поставщика услуг VPN и обеспечить сотрудникам на удаленном доступе возможность работать с этим сервисом;
• для работы необходимо иметь отдельное мобильное устройство и не смешивать частную и корпоративную информацию, система ИБ компании должна предусматривать меры защиты таких удаленных устройств;
• сведения о работе на удаленном доступе не должны публиковаться в социальных сетях, чтобы не вызвать интерес злоумышленников. Устное и письменное разглашение конфиденциальных данных недопустимо;
• пароли на ресурсах, связанных с работой на удаленном доступе, необходимо регулярно менять;
• плагины и программное обеспечение, содержащие известные хакерам уязвимости (например, Adobe Flash, Acrobat Reader, Java и другие), должны регулярно обновляться;
• компьютер и мобильные устройства нужно защищать паролем даже дома, чтобы гость или ремонтный рабочий не смогли похитить или случайно повредить данные.

Эти правила необходимо оговаривать с каждым работником на удаленном доступе на первом этапе сотрудничества. От компании требуется организовать собственную систему мер, позволяющую обезопасить работу с любым сотрудником на удаленном доступе, штатным или внештатным:

• внедрить механизм аутентификации пользователей (пароли, аппаратные средства-токены, биометрические данные);
• организовать единую систему управления доступом (централизованное управление доступом к IT-ресурсам компании);
• системно использовать средство организации собственных протоколов VPN (аппаратные устройства, программные решения, расширения брандмауэра);
• внедрить средства противостояния атакам (защита внутренней сети и сотрудников от атак).

Программа защиты удаленного доступа актуальна и для информационной безопасности на производстве, где многие объекты управляются по каналам беспроводной связи.

ИБ на производстве

Правила информационной безопасности приобретают особую актуальность, когда касаются производства и автоматизированных систем управления (АСУ ТП). Системы управления отвечают за работу таких объектов, как домны, прокатные станы, гидроэлектростанции. Любое внешнее вмешательство в их информационную инфраструктуру способно вызвать аварии и человеческие жертвы. Поэтому требования к ИБ АСУ строятся на собственных принципах, отличных от принципов управления информационными системами в общем. Угрозы таким системам могут исходить от террористических группировок, в том числе исламской направленности. Прямого корыстного интереса у обычных хакеров к ним не возникает. Такие системы часто поражаются специально созданными вирусами, направленными на вывод из строя объектов промышленной инфраструктуры и использующих уязвимости в классических информационных системах. 

АСУ ТП требует наивысшей степени защиты в тех отраслях, аварии в которых способны причинить ущерб наибольшему количеству людей и имущества:

• электроэнергетика;
• предприятия топливно-энергетического комплекса;
• транспорт;
• металлургия;
• машиностроение.

Основной проблемой создания системы ИБ становится то, что использование современных программных решений может навредить общей надежности системы, поэтому часто основной задачей становится максимальное ограждение АСУ от контактов с внешним миром по любым типам подключений, в том числе установка межсетевых экранов и создание демилитаризованных зон на границах с офисными сетями.

В 2015 году в Германии было совершено нападение на систему управления сталелитейным бизнесом. Доменная печь была выведена из строя, компания надолго встало из-за того, что хакерам удалось заразить вредоносным ПО офисную сеть. На Украине хакеры проникли в локальную сеть и удалили данные с жестких дисков на рабочих станциях и SCADA-серверах и изменили настройки источников бесперебойного питания, что оставило без электроэнергии более 200 000 человек.

Регламенты создания системы информационной безопасности АСУ ИП утверждены в виде международных стандартов и российских ГОСТов. В качестве одного из основополагающих документов эту сферу регулирует Приказ ФСТЭК РФ № 31. 

При разработке правил информационной безопасности промышленного производства применительно к АСУ надо учитывать, что система имеет три уровня управления:

• уровень операторского (диспетчерского) управления (верхний уровень);
• уровень автоматического управления (средний уровень);
• уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).

Объектами защиты для АСУ, согласно нормам Приказа № 31, являются:

• информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
• программно-технический комплекс, включающий технические средства (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

Защита этих объектов возможна только на основе комплексного подхода, предусматривающего:

• систематический аудит степени АСУ ТП путем интервьюирования специалистов организации, изучения проектной документации, анализа структуры и архитектуры информационных систем;
• организацию технического анализа защищенности для нахождения уязвимостей при помощи программ-сканеров;
• ручной и программный анализ рисков;
• выявление и мониторинг новых типов угроз, представляющих опасность для функционирования объекта.

Стандартная архитектура АСУ ТП обычно не предполагает наличия большого количества ресурсов для размещения программ, отвечающих за безопасность. Предполагается использование только двух типов – систем мониторинга активности и обнаружения угроз и систем предотвращения угроз, подразумевающих управление доступом.

Системы мониторинга активности и обнаружения угроз

Наибольшие риски для АСУ ТП несут сотрудники-инсайдеры, допущенные к управлению и использующие съемные устройства, которые могут быть заражены вирусом. Но если система подключена к офисной, возможны внешние риски. Системы мониторинга ограничены в функционале, они не допущены к процессам управления АСУ ТП и не могут блокировать действия пользователей. Они способны только отслеживать всплески подозрительной активности и уведомлять о них по заданному алгоритму. Их функции:

• обнаружение внешних атак и аномалий в поведении элементов сети;
• мониторинг инцидентов информационной безопасности;
• пассивный анализ уязвимостей;
• анализ конфигураций оборудования, правил доступа сетевого оборудования;
• контроль целостности данных и программного обеспечения.

Системы анализируют сетевые потоки, выявляют аномалии и неизвестные IP-адреса, атаки на не запротоколированные ранее уязвимости.

Системы предотвращения угроз

Эти программные средства носят проактивный характер: они не только информируют, но и действуют. В основном они управляют доступом пользователей, имея полномочия на блокировку неавторизованных действий. В случае неопределенной трансакции они вправе запросить ее авторизацию у руководителя более высокого уровня и в его отсутствие блокируют операцию.

Ответственность за нарушение правил ИБ

Компания может применять к сотруднику за нарушение правил информационной безопасности меры дисциплинарной ответственности. Это замечание, выговор, иногда увольнение. Серьезным стимулом скрупулезно выполнять правила является депремирование. Решение о привлечении к ответственности принимает руководитель организации по представлению непосредственного начальника виновника. При выборе меры ответственности нужно предполагать, что нарушения правил информационной безопасности могут носить пассивный и активный характер.

Пассивные:

• получение информации нарушителем для использования в своих целях;
• анализ характеристик информации без доступа к самой информации.

Активные:

• изменение информации;
• внесение ложной информации;
• нарушение (разрушение) информации;
• нарушение работоспособности системы обработки информации.

Активные нарушения несут больше опасности для бизнеса и говорят о более высокой степени вины нарушителя, они должны наказываться строже. Иногда от мер корпоративной ответственности приходится переходить к гражданско-правовой, подав на нарушителя в суд с требованием о возмещении ущерба или заявление в правоохранительные органы о возбуждении уголовного дела. Утрата или намеренное разглашение конфиденциальной информации могут стать основанием для взыскания с виновника ущерба, и его размер может достигать миллионов рублей.

Целесообразным решением становится периодическое проведение проверок подразделений компании с целью определения степени выполнения правил безопасности всеми пользователями – от наладчика оборудования до генерального директора. Менеджеры чаще пренебрегают правилами, именно поэтому они являются основными источниками угроз. Результаты проверки могут стать основой для служебных расследований или переаттестации по профессиональной пригодности, поэтому они имеют дополнительный дисциплинирующий характер.

Вне зависимости от того, в каких условиях работают правила информационной безопасности предприятия, они должны соблюдаться неукоснительно. Только это приведет к тому уровню ИБ, который позволит избежать ущерба и аварий.

06.02.2020

К какой ответственности может быть привлечен работник за нарушение правил иб

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

1.1. Лица, виновные в нарушении требований статьи 14.1 настоящего Федерального закона в части обработки, включая сбор и хранение, биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.

(часть 1.1 введена Федеральным законом от 31.12.2017 N 482-ФЗ)

1.2. Лица, размещающие в соответствии со статьей 14.1 настоящего Федерального закона в электронной форме сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации и (или) единой биометрической системе, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации за достоверность сведений, размещаемых в указанных системах. Лица, права и законные интересы которых были нарушены в связи с недостоверностью сведений, размещенных в единой системе идентификации и аутентификации и (или) единой биометрической системе, вправе обратиться в установленном порядке в уполномоченный орган по защите прав субъектов персональных данных, а также за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

(часть 1.2 введена Федеральным законом от 29.12.2020 N 479-ФЗ)

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

4. Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона.

(часть 4 введена Федеральным законом от 02.07.2013 N 187-ФЗ; в ред. Федерального закона от 24.11.2014 N 364-ФЗ)

(см. текст в предыдущей редакции)

5. Лица, права и законные интересы которых были нарушены владельцем социальной сети в результате неисполнения им требований, установленных в статье 10.6 настоящего Федерального закона, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

(часть 5 введена Федеральным законом от 30.12.2020 N 530-ФЗ)

Источник

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

ГАРАНТ:

См. комментарии к статье 17 настоящего Федерального закона

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Информация об изменениях:

1.1. Лица, виновные в нарушении требований статьи 14.1 настоящего Федерального закона в части обработки, включая сбор и хранение, биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.

Информация об изменениях:

1.2. Лица, размещающие в соответствии со статьей 14.1 настоящего Федерального закона в электронной форме сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации и (или) единой биометрической системе, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации за достоверность сведений, размещаемых в указанных системах. Лица, права и законные интересы которых были нарушены в связи с недостоверностью сведений, размещенных в единой системе идентификации и аутентификации и (или) единой биометрической системе, вправе обратиться в установленном порядке в уполномоченный орган по защите прав субъектов персональных данных, а также за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Информация об изменениях:

Федеральным законом от 24 ноября 2014 г. N 364-ФЗ в часть 4 статьи 17 настоящего Федерального закона внесены изменения, вступающие в силу с 1 мая 2015 г.

4. Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона.

Информация об изменениях:

5. Лица, права и законные интересы которых были нарушены владельцем социальной сети в результате неисполнения им требований, установленных в статье 10.6 настоящего Федерального закона, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Источник

Подписка на обзоры и консультационные материалы.

Услуги

К какой ответственности может быть привлечен работник, если нарушил требования инструкции по работе на компьютере (противодействие хакерским атакам)

В связи с участившимися хакерскими атаками, организация разработала инструкцию, в которой перечислены действия, которые запрещено выполнять работнику при использовании компьютера (открывать электронные письма от неизвестных контрагентов, открывать страницы определенных сайтов и т.п.). Работник ознакомился с данной инструкцией и подписал её.

Вопрос

К какой ответственности может быть привлечен работник в случае нарушения инструкции и может ли работодатель в случае такого нарушения взыскать с работника какие-либо убытки?

Ответ юриста

Трудовые и другие непосредственно связанные с ними отношения регулируются трудовым законодательством, включая законодательство об охране труда, иными нормативными правовыми актами, содержащими нормы трудового права, а также коллективными договорами, соглашениями и локальными нормативными актами, содержащими нормы трудового права (ст. 5 ТК РФ).

Трудовой кодекс РФ не содержит определения локальных нормативных актов.

Локальные нормативные акты можно разделить, например, на следующие виды:

Путеводитель по кадровым вопросам. Порядок разработки и утверждения локальных нормативных актов организации

Работники должны быть ознакомлены под подпись со всеми локальными нормативными актами, принимаемыми в организации и непосредственно связанными с их трудовой деятельностью (абз. 10 ч. 2 ст. 22 ТК РФ).

Подтвердить факт ознакомления работников с локальными актами можно несколькими способами.

— Подписью работника на листе ознакомления. Также должны быть указаны его фамилия, имя, отчество и дата ознакомления. Этот лист прилагается к каждому локальному нормативному акту, нумеруется, прошивается и скрепляется печатью и подписью должностного лица.

— Подписью работника на листе ознакомления, являющемся приложением к трудовому договору.

Путеводитель по кадровым вопросам. Порядок разработки и утверждения локальных нормативных актов организации

Работодатель имеет право привлекать работников к материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами (абз. 6 ч. 1 ст. 22 ТК РФ).

Согласно ч. 1 ст. 238 ТК РФ работник обязан возместить работодателю причиненный ему прямой действительный ущерб.

Путеводитель по кадровым вопросам. Материальная ответственность работника

Для привлечения работника к материальной ответственности необходимо соблюдение условий, предусмотренных ст. 233 ТК РФ:

— наличие прямого действительного ущерба, подтвержденного соответствующими документами;

— вина работника в причинении работодателю такого ущерба. Под виной понимаются умысел или неосторожность в действиях работника, которые привели к возникновению ущерба у работодателя. Умысел состоит в том, что работник знал (предполагал) о возникновении у работодателя прямого действительного ущерба от его действий;

— совершение работником неправомерных действий (или бездействия), т.е. нарушающих нормы законодательства;

— наличие причинной связи между действиями работника и возникшим у работодателя прямым действительным ущербом.

То, что соблюдение всех указанных условий обязательно для привлечения работника к материальной ответственности, подтверждается и судебной практикой (см. Определение Санкт-Петербургского городского суда от 03.11.2011 N 33-16427/2011).

Путеводитель по кадровым вопросам. Материальная ответственность работника

Статьей 241 ТК РФ установлены пределы материальной ответственности работника. Согласно данной норме работник, с которым не заключен договор о полной материальной ответственности, несет ответственность в пределах своего месячного заработка. Материальная ответственность в полном размере причиненного работодателю ущерба может возлагаться на работника только в случаях, предусмотренных Трудовым кодексом РФ и иными федеральными законами. Подробнее об этом см. п. 3 настоящего материала.

Ограниченная материальная ответственность означает, что работник обязан возместить сумму, которая не превышает размера его средней заработной платы за месяц, независимо от размера причиненного ущерба (см. Определение Московского областного суда от 17.06.2010 по делу N 33-11823).

Путеводитель по кадровым вопросам. Материальная ответственность работника

За совершение дисциплинарного проступка, т.е. за виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей, к нему можно применить три вида взысканий (ч. 1 ст. 192 ТК РФ):

— замечание (менее строгая мера ответственности);

— выговор (более строгая мера ответственности);

Путеводитель по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение

Работодатель может применять дисциплинарные взыскания за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей (абз. 1 ч. 1 ст. 192 ТК РФ).

Правила поведения работников могут быть закреплены, например, в правилах внутреннего трудового распорядка или иных локальных нормативных актах, действующих у работодателя. Это следует из положений ч. 1 ст. 8, абз. 7 ч. 1 ст. 22, ст. 189 ТК РФ. Работник в силу требований абз. 10 ч. 2 ст. 22 ТК РФ должен быть ознакомлен под подпись с такими документами. Аналогичные выводы содержатся в Письме Минтруда России от 16.09.2016 N 14-2/В-888.

Путеводитель по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение

Служебный компьютер предоставляется для использования работнику на основании локального нормативного акта работодателя (приказа, инструкции, правил внутреннего трудового распорядка), которым определяются цели и порядок использования работником данного имущества. Согласно ст. 21 ТК РФ работник обязан бережно относиться к имуществу работодателя и других работников, причем не только в рабочее время, но и в период времени отдыха.

В соответствии со ст. 192 ТК РФ на работника может быть наложено дисциплинарное взыскание за неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, которые закреплены в трудовом договоре, должностной инструкции, иных локальных нормативных актах, действующих у конкретного работодателя.

Таким образом, если соответствующее положение закреплено в инструкции, то работодатель вправе привлечь работника к дисциплинарной ответственности за нарушение пунктов данной инструкции. Также работодатель в данной ситуации имеет право привлекать работников к материальной ответственности при соблюдение условий, предусмотренных ст. 233 ТК РФ.

Подборка документов:

Вопрос: Работник использует служебный компьютер в личных целях во время обеденного перерыва. Можно ли в связи с этим привлечь его к дисциплинарной ответственности? (Консультация эксперта, 2013)

Ситуация: Когда работник несет материальную ответственность перед работодателем? («Электронный журнал «Азбука права», 2018)

Путеводитель по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение

Путеводитель по кадровым вопросам. Материальная ответственность работника

Разъяснение дано в рамках услуг «ЛИНИИ КОНСУЛЬТАЦИЙ» консультантом по правовым вопросам ООО НТВП «Кедр-Консультант» Макшаковым Игорем Борисовичем, апрель 2018 г.

При подготовке ответа использована СПС КонсультантПлюс.

Источник

Проверка Роскомнадзора: как подготовиться работодателю

эксперт по трудовому законодательству, преподаватель по трудовому праву

Тема охраны персональных данных касается всех, кто работает с кадровыми документами. В этой статье разберем, какие требования установлены на законодательном уровне и что может стать объектом проверки Роскомнадзора

На какие документы опираться работодателю

Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты»В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.

Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.

В конце статьи есть шпаргалка

К владельцам персональных данных относятся:

Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как их хранить, на каких носителях, как их защищать и пр.

Что проверяет Роскомнадзор

Постановка на учет

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.

Как проверить, стоит ли организация на учете

Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.

О том, как работать с персональными данными, читайте в интервью Марии Финатовой

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

Локальные нормативные акты

Это те документы, которые содержат конкретные правила и условия работы:

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Хранение и уничтожение персональных данных

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.

Информационные системы

Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.

Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.

В конце статьи есть шпаргалка

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

О том, что нового появится в работе с персональными данными, расскажем на бесплатном вебинаре «Законодательные изменения по персональным данным работников. Чек-лист для кадровика».

Вместо заключения

Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.

Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Перечень НПА для оператора персданных 630.2 КБ

Источник

Ответственность за нарушения требований охраны труда

Что такое требования охраны труда и чем грозит их нарушение

Когда вы заключаете трудовой договор и устраиваетесь на работу, обязанности появляются не только у вас, но и у работодателя. Одна из них — обеспечивать безопасность и создавать необходимые условия труда.

Что такое требования охраны труда

Требования определяют, какие именно условия труда можно назвать безопасными и пригодными для работы. Они устанавливают правила, нормативы, процедуры и критерии, которыми должны руководствоваться работодатели, чтобы сохранить жизнь и здоровье работников.

Нормативная база. Некоторые требования охраны труда перечислены в главе 34 ТК РФ. Например, работодатель обязан обеспечивать безопасные условия труда и проводить обязательные медосмотры.

Кроме трудового кодекса, требования охраны труда содержатся еще в нескольких федеральных законах, вот основные:

Основная часть требований охраны труда содержится в подзаконных актах. К ним относятся:

Руководителям организаций совсем необязательно знать абсолютно все требования охраны труда. Важно помнить:

Здесь могут помочь акты Минтруда:

Отраслевые правила охраны труда. Отраслевые и межотраслевые правила, а также типовые инструкции по охране труда распространяются на организации, которые ведут деятельность в какой-то конкретной отрасли или нескольких схожих отраслях.

Правила обычно применяют напрямую, а на основе типовых инструкций по охране труда каждая организация разрабатывает свою собственную.

Кто отвечает за охрану труда

Все зависит от количества работников в организации и сферы ее деятельности.

Работодатель обязан создать службу охраны труда или ввести должность специалиста по охране труда, если:

Если сотрудников меньше 50, у работодателя больше альтернатив:

Есть два основных способа назначить ответственного работника:

Если в компании, где работает менее 50 человек, руководитель никому не поручил выполнять функцию по охране труда, в штате нет отдельного специалиста и нет договора со специализированной организацией, ответственное лицо — сам руководитель фирмы. В таком случае не нужно вносить изменения в трудовой договор или оформлять совмещение должностей. Руководитель охраняет труд в силу прямого указания закона. Также он может назначить ответственного за охрану труда сотрудника приказом, не внося отдельную должность и изменения в штатное расписание.

Требования к ответственному лицу. Конкретных требований к специалисту по охране труда в законодательстве нет. Трудовой кодекс лишь отмечает, что нужен опыт или соответствующая подготовка.

При подборе сотрудника работодатель может использовать профстандарт «Специалист в области охраны труда». Но это не обязательно — так говорят суды.

Например, в Омске организацию привлекли к административной ответственности за то, что она не соблюла требования профстандарта к названию должности специалиста по охране труда и необходимому опыту работы. Но суд в решении отметил рекомендательный характер этого профстандарта и отсутствие нарушения закона со стороны организации.

Профстандарт говорит о том, что опыт работы не важен, если у работника есть высшее образование. Если образование средне-специальное, требуется проработать в сфере охраны труда 3 года и больше.

Если профстандарт работодателю не нравится, он может установить любые требования к соискателю, какие считает нужным. Но в таком случае он все-таки рискует привлечь внимание проверяющих органов, пусть и не всегда обоснованно.

Функции специалиста по охране труда. В разных компаниях функции могут отличаться, но примерно они перечислены в п. 7 рекомендаций по организации работы службы охраны труда.

Все функции можно условно разделить на три группы:

И специалист по охране труда, и руководитель, и все работники организации обязаны соблюдать требования охраны труда.

Виды ответственности

За нарушение требований охраны труда могут привлечь к ответственности как работодателя, так и руководителя организации, а также ответственного сотрудника или любого другого работника. Вот какая ответственность может наступить за разные нарушения.

Дисциплинарная. Дисциплинарное взыскание применяется к работнику, который по своей вине не выполнил или ненадлежащим образом выполнил свои обязанности в сфере охраны труда.

Такие обязанности есть у каждого работника: соблюдать технику безопасности, проходить медосмотры, если необходимо. А сотрудники, чья работа непосредственно связана с охраной труда, дополнительно обязаны следить за тем, как в компании соблюдают правила охраны труда. За нарушение любой из таких обязанностей работодатель может привлечь работника к дисциплинарной ответственности.

Мы уже подробно писали о дисциплинарных взысканиях, поэтому кратко перечислю основные моменты.

Работник должен знать свои обязанности, доказательство этого — подпись работника.

Например, в обязанности специалиста по охране труда входит организация расследования несчастных случаев на производстве. При этом в трудовом договоре это не прописано — есть только в должностной инструкции.

Работника ни при трудоустройстве, ни позже с инструкцией не ознакомили. Потом работодатель сделал работнику выговор за то, что он не организовал расследование перелома руки инженера, когда тот работал со станком. Это незаконно.

Привлечь к дисциплинарной ответственности можно и руководителя, если он нарушит нормы трудового законодательства в части охраны труда или коллективный договор, например правила техники безопасности в цехе. Инициирует наказание профсоюз или другой представительный орган работников — направляет обращение работодателю. Но этот механизм почти не работает: профсоюзы созданы не везде и контролировать руководителя они фактически не могут.

Материальная. Это обязанность одной стороны трудового договора возместить другой причиненный ущерб. Даже если договор расторгли, обязанность возместить ущерб не исчезает.

Например, работник энергетической компании проверял линии электропередач и был уверен, что напряжение отключено. Оказалось, что линию не отключили, работник потерял равновесие от порыва ветра, коснулся рукой линии и получил тяжелые ожоги. Руку впоследствии ампутировали, а работника уволили как неспособного к трудовой деятельности.

Уже после увольнения работник подал в суд. Суд подтвердил, что травму работник получил, потому что работодатель не соблюдал правила охраны труда, и обязал последнего возместить расходы на лечение и моральный вред.

Нести материальную ответственность может и работник, и работодатель. Например, работодатель может возместить работнику моральный вред, причиненный небезопасными условиями труда.

Металлургический районный суд Челябинска указал, что профессиональное заболевание работника возникло из-за конструктивных недостатков оборудования. Вины работника при этом не было.

Работник заболел, утратил трудоспособность на 10% и испытывал нравственные страдания. А все из-за того, что работодатель не соблюдал обязанности по охране труда. В итоге суд взыскал с работодателя 75 тысяч рублей морального вреда в пользу работника.

В большинстве случаев материальную ответственность несет все-таки работник. Но только при наличии таких условий, которые должен доказать работодатель.

Ответственность в размере прямого действительного ущерба. Работник заплатит только за порчу имущества, а, например, штрафы, которые работодатель платит в инспекцию труда или в налоговый орган, возмещать не должен.

Так, Новосибирский областной суд указал, что уплата штрафов — обязанность организации, которую привлекли к ответственности. Поэтому взыскать с работника сумму штрафа не получится, даже если его действия косвенно привели к нарушению компанией законодательства.

Противоправность поведения. У каждого работника, в соответствии с ч. 2 ст. 21 ТК РФ, есть несколько обязанностей перед работодателем, одна из них — соблюдать требования по охране и безопасности труда. Поэтому, если поведение любого работника привело к нарушению безопасности труда и к ущербу работодателю, этот работник понесет материальную ответственность.

Причинная связь между поведением работника и причиненным работодателю ущербом. Если ущерб причинен не работником, а, допустим, его подчиненным, причинная связь между поведением начальника и ущербом есть.

Например, это подтвердил Свердловский областной суд. Истец отвечал за охрану труда в организации и за безопасность погрузочно-разгрузочных работ в соответствии с должностной инструкцией. Он поручил другому работнику такие работы, но не проконтролировал их. Во время работ из-за нарушения техники безопасности сломался кран. Суд установил связь между поведением ответственного лица и поломкой крана и, соответственно, ущербом имуществу работодателя.

Вина работника в причинении ущерба. Вина включает в себя прямой и косвенный умысел, легкомыслие и небрежность. Прямой умысел — это когда работник точно знал, что хотел сделать, и сделал это. А если он не знал точно, к чему приведет его поведение, но предполагал что-то негативное, — это косвенный умысел. Легкомыслие работника — когда он подозревает, что его действия приведут к чему-то плохому, но надеется, что этого не случится, хотя оснований для такой надежды нет. А небрежно работник себя ведет, когда не предвидит никакого негатива, хотя должен.

Административная. Административная ответственность наступает, если нарушаются государственные нормативные требования охраны труда — то есть те, которые установлены ТК РФ, иными законами и актами.

КоАП выделяет в качестве отдельных нарушений в сфере охраны труда наиболее значимые и часто встречающиеся нарушения:

Отдельно кодекс охраняет труд водителей.

Привлечь к административной ответственности можно либо организацию или ИП, либо должностное лицо. В большинстве дел по охране труда должностное лицо — это руководитель организации.

Должностные лица в понимании КоАП либо руководят трудовым коллективом и принимают юридически значимые решения, либо распоряжаются имуществом и деньгами. По общему правилу специалист по охране труда ни тех, ни других функций не исполняет. Поэтому, если специалист по охране труда не соблюдает свои должностные обязанности и из-за этого организация получила штраф, привлечь специалиста можно к дисциплинарной, а не к административной ответственности.

Однако в приказе, должностной инструкции или трудовом договоре со специалистом по охране труда работодатель может обязать его, например, не допускать к работе лиц, которые не прошли обучение. Или обязать назначать дисциплинарные взыскания за нарушения требований охраны труда. В таком случае специалист по охране труда может быть признан должностным лицом — тогда его можно привлечь к административной ответственности. Суды подтверждают обе точки зрения.

Например, Мосгорсуд признал ответственным за безопасность труда в организации ее руководителя, хотя в компании работал и специалист по охране труда. Нарушение было в том, что не все работники прошли обучение по охране труда, хотя должны были. Суд отметил, что именно руководитель должен был организовать обучение всех работников, поэтому он и должен нести ответственность.

А Авиастроительный районный суд Казани посчитал, что именно специалист по охране труда несет ответственность за нарушение порядка проведения СОУТ.

Поэтому, если устраиваетесь на должность специалиста по охране труда, внимательно читайте трудовой договор и должностную инструкцию. Как минимум сможете понять, могут ли вас привлечь к административной ответственности в случае чего.

Уголовная. Если работник нарушил инструкцию по охране труда предприятия, к уголовной ответственности его привлечь нельзя. Но если последствия нарушения значительные, например тяжкий вред здоровью, а работник — ответственный за соблюдение правил охраны труда в компании, его могут привлечь к уголовной ответственности.

Меры ответственности

Для работника. Работника за нарушение правил охраны труда могут привлечь к дисциплинарной, материальной и уголовной ответственности, в редких случаях — к административной, если его можно признать должностным лицом.

Мер дисциплинарной ответственности по общему правилу всего три: замечание, выговор и увольнение. Нельзя придумать собственное дисциплинарное взыскание — это нарушает права работников.

Увольняют за нарушение правил охраны труда обычно по специальному основанию: если из-за нарушителя произошел несчастный случай, авария, катастрофа или возникла реальная угроза таких происшествий.

Суды относят к тяжким последствиям разные события. Например, когда работник посетил чужой цех на заводе и оставил свой участок производства без присмотра. Или когда имел место групповой несчастный случай со смертельным исходом.

Материальная ответственность работника обычно ограничена размером его среднего месячного заработка.

Но работник несет полную материальную ответственность, то есть возмещает ущерб в полном объеме вне зависимости от размера заработка, если:

В этих случаях работодатель вправе взыскать и не весь ущерб, но на это не стоит рассчитывать.

За нарушение требований охраны труда работнику, ответственному за соблюдение этих требований, могут назначить такие виды уголовных наказаний:

В качестве дополнительного наказания могут лишить права заниматься определенной деятельностью или занимать определенные должности, например должность специалиста по охране труда, на срок до 3 лет. Но суд не обязан назначать дополнительное наказание — все зависит от обстоятельств преступления.

Для работодателя. Работодателю грозят два вида ответственности: в большинстве случаев — административная и иногда — материальная.

Материальная ответственность работодателя заключается в возмещении ущерба работникам из-за того, что он некачественно или недостаточно охранял их труд.

Если же организация или должностное лицо нарушили требования охраны труда, и компанию, и должностное лицо могут привлечь к административной ответственности в виде:

При повторном нарушении должностных лиц могут оштрафовать и на 40 тысяч рублей, а компанию — на 200 тысяч. Плюс к штрафу суд может назначить дополнительные наказания:

Иногда суд может признать нарушение малозначительным, то есть нарушение формально есть, но никаких серьезных последствий не случилось. Тогда нарушитель к административной ответственности не привлекается и получает только устное замечание.

Например, Амурский районный суд выяснил, что у работников фактически были средства индивидуальной защиты, но в документы работодатель эту информацию не внес. Поэтому нарушение требований охраны труда было признано малозначительным.

Особенности уголовной ответственности

Когда наступает. Главная статья, по которой нарушителей требований охраны труда привлекают к уголовной ответственности, — ст. 143 УК РФ. Уголовное наказание грозит, если по неосторожности были причинены:

Для определения тяжести вреда здоровью человека правительство РФ разработало специальные правила. Вот признаки, которые могут быть связаны с нарушением требований охраны труда:

Помимо общих нарушений требований охраны труда, уголовный кодекс отдельно описывает особые нарушения:

Для квалификации нарушений по всем этим статьям, кроме последней, имеет значение не только вред здоровью пострадавшего, но и ущерб предприятию.

Кто несет ответственность. К уголовной ответственности привлекаются те, кто обязан по закону, должностной инструкции, трудовому или иному договору обеспечить соблюдение требований охраны труда в организации.

Кто признается потерпевшим. Поскольку преступление касается именно процесса трудовой деятельности, потерпевшими признаются те, кто состоит с работодателем в трудовых отношениях. Но не только те, с кем заключен трудовой договор — потерпевшими могут быть лица, которые участвуют в производственном процессе, например:

Единственное исключение — потерпевшими не признаются те, кто выполнял работы или оказывал услуги на основании гражданско-правового договора. Вред, который им причинен, квалифицируется по статьям уголовного кодекса, которые не связаны непосредственно с трудовой деятельностью. Например, по ст. 219 УК РФ, если вред возник из-за нарушения требований пожарной безопасности.

Поведение потерпевшего играет роль при привлечении к уголовной ответственности. Если потерпевший пострадал и из-за собственной небрежности, и из-за действия или бездействия ответственного за охрану труда в организации, суд может учесть это при назначении наказания.

А если вред причинен потерпевшему только из-за его поведения, приговор, скорее всего, будет оправдательным.

Например, президиум Брянского областного суда проанализировал действия специалиста по охране труда и выяснил, что он провел инструктаж, допустил потерпевшего к работе в соответствии с законом и контролировал его работу.

На барабан конвейера, за которым следил потерпевший, налипла глина, и он решил самостоятельно ее очистить, хотя должен был сначала попросить оператора отключить конвейер. В итоге потерпевший серьезно повредил руку.

Суд постановил, что вины специалиста по охране труда в происшествии нет: он свои обязанности выполнил — проблема в потерпевшем, который нарушил требования охраны труда.

Когда могут освободить от уголовной ответственности. Нарушение требований охраны труда — это преступление небольшой или средней тяжести в зависимости от того, остался ли в живых потерпевший. Поэтому нарушителю доступно сразу несколько способов освободиться от уголовной ответственности. Все они, кроме истечения сроков давности, действуют только для тех, кто совершил преступление впервые.

Вот когда могут освободить от уголовной ответственности:

Оформление нарушения

Нарушение правил охраны труда оформляется разными способами в зависимости от того, кто его обнаружил.

Работодатель. Если нарушение обнаружил работодатель и решил привлечь работника к дисциплинарной или материальной ответственности, он должен составить акт о нарушении трудовой дисциплины.

До составления акта обязательно запросить у работника письменное объяснение о случившемся. Если работник не представит объяснение в течение 2 рабочих дней, можно составлять акт и без него. После составления акта нужно ознакомить с ним нарушителя под подпись.

В акте необходимо указать:

Инспекция труда или прокуратура. Если нарушение выявили госорганы в ходе проверки, то оно фиксируется в акте проверки. Форма акта установлена приказом Минэкономразвития.

Как обжаловать взыскание

Дисциплинарное или материальное. Мы уже подробно об этом писали, поэтому вспомним основные правила.

Обжаловать приказ о наложении дисциплинарного взыскания можно:

В инспекцию имеет смысл обращаться, только если работодатель неправильно оформил наложение взыскания. Если работник не согласен по сути, придется идти в суд или КТС, если она создана в организации. При этом если сотрудника уволили за нарушение правил охраны труда и он хочет восстановиться на работе, поможет только суд. Если сотрудник считает, что он не нарушал правила охраны труда, он может обратиться в КТС.

Административное или уголовное. К административной ответственности привлечь может уполномоченный орган или его должностное лицо — инспекция или инспектор труда либо суд.

От этого зависит и порядок обжалования. Если к ответственности привлек орган, то обжаловать акт можно в вышестоящий орган или в районный суд. Если привлек суд — то только в вышестоящий суд. О том, как обжаловать решения судов, Т⁠—⁠Ж уже подробно писал.

Источник