2.3.3Кадровые агентства Германии

Сегодня рынок труда Германии представляет собой достаточно парадоксальную ситуацию -- при общей безработице, составляющей 8% (примерно 3 млн. безработных), открыты и остаются незанятыми почти 1,6 млн. рабочих мест. Однако лишь полмиллиона рабочих вакансий зарегистрированы в службе занятости Германии.

Это связано с нежеланием фирм привлекать к работе безработных со стажем. Как правило, при кажущейся активной безработице, каждый желающий работать человек находит себе работу. Около 15% от числа безработных (467 тыс. человек) сделали пособие по безработице своим основным доходом в жизни, при этом подрабатывая на черных работах.

В последнее время с таким отношением к работе достаточно эффективно борется немецкое правительство и агентства занятости. Предложено использовать рабочую силу безработных в секторе коммунального хозяйства за символическую оплату. То есть безработный продолжает получать свое пособие плюс 1 евро в час, и, фактически, принудительно занят 15--20 часов в неделю. В случае отказа от этого вида работ снижается уровень пособия по безработице.

Крупнейшие рекрутинговые агентства Германии нацелили свой взгляд на европейских соседей, страны Восточной Европы, Россию и азиатский регион.

Одной из самых активных служб по подбору кадров в Германии является фирма SOLCOM. Ее постоянными заказчиками являются крупнейшие концерны: BMW, Bosch, Alcatel, концерн Hugo Boss, одна из самых крупных страховых компаний AXA, книжная компания Bertelsmann и еще три десятка компаний, относящихся к крупному немецкому бизнесу. SOLCOM является монополистом в области подбора персонала в сфере коммуникаций и менеджмента проектов. Сегодня ни одно кадровое решение в немецком телекоме не обходится без подключения SOLCOM. Кроме того, после слияния HP и Compaq именно SOLCOM помог решить кадровые проблемы нового концерна.

Активные изменения в структуре немецкой авиакомпании Lufthansa привели к сохранению и увеличению числа рабочих мест с одновременным повышением эффективности, что привело к окончанию кризиса в этой области. Кроме того, фирма SOLCOM является кризисным штабом сети немецких мегамаркетов Karstadt. Всего четыре основных направления деятельности рекрутингового агентства SOLCOM позволяют сконцентрироваться на качественном поиске специалистов в области торговли, страхования и телекоммуникаций. Дополнительные консалтинговые службы этой компании решают проблемы подбора персонала в комплексе с другими сопутствующими вопросами.

В области медиапродукции, рекламы, моды и компьютерных технологий на немецком рынке труда успешно работает кадровое агентство Aquent. Эта международная консалтинговая компания появилась в Германии в 1985 г. С 1986 г. рекрутинговое агентство Aquent активно работает на рынке труда. Одним из самых крупных заказчиков этого кадрового агентства является компания Adobe. Кроме того, фирма Aquent решает множество кадровых вопросов в крупных немецких медиаконцернах: Kabel, RTL, ProSieben, а так же работает с крупнейшими немецкими рекламными компаниями.

В области подбора персонала для информационных технологий, производства электроники и строительной индустрии в Германии лидирует концерн Michael Page International. Отделения концерна расположены в шести крупнейших городах Германии -- Дюссельдорфе, Франкфурте, Штутгарте, Мюнхене, Берлине и Гамбурге и охватывают сотню крупнейших компаний. Среди них -- гигант Philips, производитель электроники Pioneer, компания Rockwell. На сегодняшний день Michael Page -- в пятерке крупнейших рекрутинговых агентств Германии.

Среди немецких рекрутинговых агентств выделяется Kienbaum Management Consultants GmbH. За более чем 60 лет деятельности было реализовано 60 тыс. проектов в области персонального менеджмента и рекрутинга. Сегодня компания Kienbaum Management Consultants GmbH в десятке крупнейших рекрутинговых фирм мира. В Германии Kienbaum специализируется на подборе управляющего и менеджерского персонала, объединяя рынки новой Европы. С начала этого года зона интересов Kienbaum переместилась дальше на восток. Проводится активный поиск специалистов в Восточной Европе и России. Kienbaum Management Consultants GmbH является лидером в рекрутинге в секторах недвижимости, новых технологий, конструирования и финансов.

Еще одна немецкая компания Mumme Personaldienstleistungen GmbH, вошедшая в созданную в Европе GI Group, занимает лидирующее место в реализации проектов по подбору кадров для технических отраслей. Инженеры -- основное направление фирмы Mumme. Развитие технического прогресса, использование новых технологий требует новой, обученной, специализированной рабочей силы. Компания подбирает технических специалистов для нужд горной и металлообрабатывающей промышленности, деревообрабатывающего комплекса, химической промышленности и многих смежных областей. Зона интересов этой фирмы распространяется на Италию, Испанию, Францию, поскольку GI Group является крупнейшим рекрутинговым агентством Италии.

Необходимо также сказать, что совместными усилиями бирж труда, крупных компаний и рекрутинговых агентств организовано большое количество различного вида курсов, учебных центров, в которых производится переквалификация немецких безработных под сегодняшние нужды экономики Германии. Дальнейшие пути развития германского консалтинга и рекрутинга можно охарактеризовать как осторожное, но оптимистичное слияние с рынками труда восточных соседей, с лимитированным забором рабочей силы в странах европейского содружества и тесное сотрудничество с соседями из восточно-европейского блока.

2.4Алгоритм подбора персонала в КА

Как уже было сказано, агентство по подбору персонала - посредник на рынке труда, осуществляющий подбор персонала по заказам работодателей и оказывающий работодателям сопутствующие услуги.

Несмотря на то, что посредничество в сфере поиска и подбора персонала уже достаточно прочно укоренилось на рынке труда как одно из направлений бизнеса, и многие работодатели активно с сотрудничают с этими посредниками, часть работодателей все еще не только не имеет представления о механизмах такого сотрудничества, но и не отличает друг от друга различные виды посредников.

Кадровое агентство по подбору персонала осуществляет поиск и подбор персонала исключительно по заказам работодателей. Основной задачей агентства по подбору персонала является выполнение всех требований работодателя, соблюдение его интересов, поскольку работодатель является заказчиком услуг агентства по подбору персонала и оплачивает их.

Агентство по подбору персонала может оказывать также сопутствующие услуги работодателям и соискателям. Но основным отличием агентства по подбору персонала от других посредников на рынке труда является то, что агентство по подбору персонала ориентируется на работодателя как заказчика услуг по поиску и подбору персонала, по заказу работодателя осуществляет поиск и отбор персонала, представляет работодателю подобранных кандидатов и с работодателя берет вознаграждение за свои услуги. Если кадровое агентство занимается параллельно поиском работы для соискателей, то есть оказывает услуги соискателям по поиску работы, и берет вознаграждение с соискателей, - такое кадровое агентство является агентством смешанного типа. Если посредник на рынке труда осуществляет исключительно поиск работы для соискателей - это агентство по трудоустройству..

Далее описан типовой алгоритм работы кадрового агентства, которое занимается подбором персонала. Сотрудничество работодателя и агентства по подбору персонала начинается с обращения работодателя в агентство с заказом на подбор персонала. На этой стадии сотрудничества менеджеры агентства по подбору персонала консультируют работодателя по вопросам работы агентства по подбору персонала, подробно описывают механизм и условия сотрудничества, предоставляют информацию о ценовой политике кадрового агентства. Если работодателя устраивают условия сотрудничества, работодатель с помощью менеджера кадрового агентства составляет заказ на подбор персонала, который впоследствии становится неотъемлемой частью договора оказания услуг по поиску и подбору персонала, заключаемого работодателем и кадровым агентством. В заказе на подбор персонала работодатель указывает информацию о своей организации, формулирует требования к кандидатам, условия работы будущего сотрудника. После составления заказа на подбор персонала определяется окончательная стоимость услуг агентства по подбору персонала, которая может быть фиксированной или составлять процент от заработной платы кандидата, и подписывается договор оказания услуг по поиску и подбору персонала. Если стоимость услуг фиксируется на момент подписания договора, то основными определяющими ее факторами являются сложность и специфика вакансии, привлекательность для соискателя предлагаемых работодателем условий работы, требуемое работодателем количество бесплатных замен и срок, в течение которого кадровое агентство будет нести гарантийный обязательства. Условия договора при индивидуальном подходе кадрового агентства к потребностям каждого конкретного заказчика могут быть несколько изменены в сравнении с типовыми по согласованию сторон перед подписанием договора. Предоплата, как правило, при заключении договора оказания услуг по поиску и подбору персонала отсутствует. Исключением является массовый подбор персонала - подбор нескольких сотрудников на однотипные линейные должности.

Следующий этап - поиск кандидатов агентством по подбору персонала. Менеджер по подбору персонала кадрового агентства для поиска использует внутренние базы соискателей, возможности специализированных печатных и электронных средств массовой информации и другие ресурсы кадрового агентства и применяет различные технологии поиска. Менеджер по подбору персонала кадрового агентства отбирает резюме, соответствующие требованиям работодателя, и связывается с кандидатами. Первичный отбор, как правило, происходит посредством телефонного интервью. Менеджер по подбору персонала вкратце описывает соискателю предлагаемую вакансию, задает уточняющие вопросы об опыте работы соискателя, а затем принимает решение о приглашении кандидата в агентство по подбору персонала для проведения очного интервью в офисе кадрового агентства.

В ходе личного собеседования в офисе кадрового агентства производится всесторонняя оценка деловых, личностных и психологических качеств кандидата. Менеджер по подбору персонала оценивает также соответствие профессиональных навыков и опыта работы кандидата предлагаемой вакансии, уровень и качество образования, определяет мотивацию кандидата и ожидаемый уровень заработной платы. Менеджер по подбору персонала оценивает также внешний вид кандидата. При необходимости менеджер по подбору персонала собирает о соискателе недостающие сведения, в том числе запрашивает отзывы и рекомендации с предыдущих мест работы. В ходе очного собеседования также могут проводиться психологические и профессиональные тестирования.

Результаты очных собеседований с соискателями обрабатываются, производится их анализ и сопоставление. Из всех кандидатов, прошедших очное собеседование в кадровом агентстве, отбираются те, профессиональный опыт и деловые качества которых наиболее точно соответствуют требованиям работодателя. Затем менеджер по подбору персонала кадрового агентства подготавливает информацию об отобранных кандидатах для работодателя. Эта информация включает в себя профессионально составленное резюме соискателя, комментарии менеджера по подбору персонала, а также другие необходимые заказчику материалы. Благодаря проделанной менеджером по подбору персонала работе, работодатель получает возможность выбора из нескольких лучших кандидатов, потенциально соответствующих предлагаемой вакантной должности, не тратя время на поиск и отбор кандидатов. Таким образом, работодателю остается сделать лишь окончательный выбор, поскольку он освобожден от огромного количества предварительной работы. Работодатель рассматривает предоставленную менеджером кадрового агентства информацию об отобранных кандидатах и принимает решение о необходимости встречи с отобранными кандидатами. В случае заинтересованности работодателю может быть организованна встреча с одним, несколькими или со всеми отобранными кандидатами, поскольку количество предоставляемых агентством по подбору персонала кандидатур не ограничено.

Менеджер по подбору персонала кадрового агентства связывается с успешными кандидатами и организует проведение собеседования в офисе у работодателя. При необходимости менеджер по подбору персонала присутствует на собеседовании с кандидатом в офисе у работодателя.

После собеседования с кандидатами в офисе у работодателя в течение оговоренного в договоре оказания услуг по поиску и подбору персонала срока работодатель принимает решение, соответствует ли кто-либо из представленных кадровым агентством кандидатов вакантной должности или нет, и сообщает о своем решении менеджеру по подбору персонала кадрового агентства, указывая причины отказа кому-либо из кандидатов или всем кандидатам.

В случае отказа работодателя всем кандидатам работа агентства по подбору персонала возобновляется. К этому времени менеджер по подбору персонала формирует кадровый резерв для дальнейшего отбора. Агентство по подбору персонала представляет работодателю новые кандидатуры до тех пор, пока работодатель не остановит свой выбор на ком-либо из представленных кандидатов и не примет положительного решения в отношении него.

Оплата услуг агентства по подбору персонала производится в случае найма на работу успешного кандидата в течение оговоренного в договоре срока, исчисляемого с момента заключения с кандидатом трудового договора или фактического выхода кандидата на работу. После выхода подобранного кадровым агентством сотрудника на работу агентство по подбору персонала несет перед работодателем гарантийные обязательства, которые представляют собой обязанность кадрового агентства произвести бесплатную замену подобранного специалиста в случае расторжения с ним трудового договора по инициативе работодателя или работника в течение определенного срока. Причинами расторжения трудового договора могут быть неудовлетворительный результат испытания при приеме на работу, собственное решение работника уволиться и другие. Бесплатная замена не производится лишь в случаях несоблюдения работодателем норм трудового законодательства и увольнения работника в связи с сокращением численности или штата работников организации.

Количество бесплатных замен в зависимости от условий договора оказания услуг по поиску и подбору персонала может быть различным. В большинстве случаев достаточно условия об одной гарантийной замене. Для наилучшего обеспечения интересов работодателя в договор включается условие о двух бесплатных заменах. Условие о большем количестве бесплатных замен, как правило, неэффективно, поскольку вероятность необходимости в более чем двух бесплатных заменах крайне мала, а увеличение количества бесплатных замен удорожает стоимость услуги по поиску и подбору персонала.

Гарантийный срок - срок, в течение которого производится бесплатная замена - может составлять от одного до шести месяцев. Наиболее оптимальный срок - три месяца. Этот гарантийный срок соответствует и максимальному общему испытательному сроку для работника, предусмотренному отечественным трудовым законодательством. В случае массового подбора персонала, как правило, гарантийный срок равняется одному месяцу. При подборе руководителей зачастую гарантийный срок равен шести месяцам. Это обусловлено как повышенной ответственностью работника на руководящей должности, а следовательно и повышенными требованиями работодателя к такому работнику, так и влиянием трудового законодательства. Для руководителей организаций, их заместителей, руководителей филиалов, представительств, иных обособленных структурных подразделений организаций, главных бухгалтеров и их заместителей трудовое законодательство устанавливает максимальный испытательный срок, равный шести месяцам.

Агентство по подбору персонала не гарантирует соискателям трудоустройство. Если предлагаемая вакансия соискателю не подошла или работодатель отказал соискателю в приеме на работу, агентство по подбору персонала не будет продолжать поиск работы для соискателя, поскольку не имеет перед ним никаких обязательств. Однако, соблюдая нормы этики и заботясь о своей репутации, агентство по подбору персонала предоставляет соискателю только достоверную информацию о работодателе, дает рекомендации по составлению резюме и прохождению собеседования у работодателя, отслеживает прохождение соискателем испытательного срока и при необходимости поддерживает его. С целью формирования внутренней базы резюме и кадрового резерва резюме соискателей, обладающих хорошими деловыми качествами, но по каким-либо причинам отсеянных при отборе менеджером по подбору персонала кадрового агентства или работодателем, хранятся в архивах агентства по подбору персонала.

2.5Потоки информации в КА в аспекте ПДн

Далее необходимо проанализировать потоки персональных данных в рассматриваемом кадровом агентстве. Во-первых, это будут персональные данные, предоставляемые кандидатами рекрутерам в своих резюме. К таким данным можно отнести следующие:

· ФИО

· Пол

· Дата рождения

· Опыт работы

· Профессиональные знания и навыки

· Место проживания(без указания точного адреса)

· Информация о прошлом месте работы

· Фотография соискателя (то есть биометрические данные)

· Наличие водительских прав

· Наличие медицинской книжки

· Гражданство

· Телефон

Во-вторых, это данные о заказчиках (работодателях). Как правило, из персональных данных заказчиков, в кадровом агентстве обрабатываются контактные данные (например, ФИО контактного лица, его телефон, адрес электронной почты и наименование организации, которую это лицо представляет).

Также в кадровом агентстве, как и в любой организации, есть внутренний персонал, персональные данные которого тоже обрабатываются в ИСПДн. Это могут быть следующие персональные данные:

· ФИО

· Паспортные данные (серия/номер/дата/кем выдан)

· Пол

· Дата рождения

· Место рождения

· Адрес проживания (прописки)

· Состояние в браке

· Состав семьи

· Место работы

· ИНН

· Номер страхового свидетельства

· Уровень образования

· Год окончания

· Номер диплома

· Общий трудовой стаж

Однако в дальнейшем в данной работе целесообразно рассматривать только информацию о клиентах и информацию о соискателях, так как информация о внутреннем персонале есть в каждой организации и она не зависит о специфики деятельности организаций.



3. ОБЕСПЕЧЕНИЕ БЕЗОПСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КАДРОВОМ АГЕНТСТВЕ

3.1Построение модели ИСПДн кадрового агентства

Итак, необходимо построить примерную модель ИСПДн рассматриваемого кадрового агентства. Так как рассматривается не конкретное кадровое агентство, занимающееся подбором персонала, то в данной работе необходимо самостоятельно смоделировать ИСПДн. Логично предположить, что в любом кадровом агентстве имеется несколько ( в зависимости от того, насколько крупное агентство) автоматизированных рабочих мест, сервер с хранящейся на нем базой данных(в ней хранятся резюме соискателей и данные о контактных лицах-представителях работодателей). Данные от соискателей могут поступать в кадровое агентство либо при непосредственном обращении людей, заинтересованных в поиске работы, и заполнении ими анкет на бумажных носителях, либо соискатели могут заполнять анкеты (резюме) на сайте агентства в электронном виде. Резюме на бумажных носителях попадают в базу данных путем их ввода операторами базы данных (эту функцию, например, может выполнять секретарь или специальное лицо, в чьи обязанности входит только ручной ввод данных в базу, далее эту категорию пользователей будем именовать операторами ИСПДн). Также необходимо сказать, что в агентстве должен быть человек, занимающийся администрированием сети и отвечающий за работу сервера. Менеджеры-рекрутеры также работают с базой данных, просматривая резюме соискателей, отбирая соответствующие критериям, заданным работодателями, и предоставляя данные о соискателях работодателям в обезличенном виде и без контактной информации.



Примерная конфигурация рассматриваемой ИСПДн показана ниже:

То есть наша ИСПДн представляет собой совокупность нескольких автоматизированных рабочих мест (компьютеров), объединенных в локальную сеть и обращающихся к серверу при обработке данных. Также предусмотрен выход в сеть интернет(что, безусловно, необходимо в связи со спецификой работы кадрового агентства). Категории пользователей могут быть определены следующим образом:

1. Системный администратор

2. менеджеры-рекрутеры (имеющие доступ к БД для работы по поиску персонала)

3. операторы БД (занимаются вводом данных в БД)

3.2Положение об обработке персональных данных

В связи с тем, что рассматриваемое кадровое агентство является оператором персональных данных ( то есть является юридическим лицом, осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных) , необходимо разработать документ под названием «Положение об обработке персональных данных». Этот документ разрабатывается в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», , иными федеральными и областными законами, правилами внутреннего распорядка агентства.

Целью разработки данного положения является определение порядка обработки персональных данных клиентов кадрового агентства и сотрудников агентства, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

В данном положение необходимо зафиксировать основные определения и понятия ,касающиеся персональных данных:

· персональные данные

· обработка персональных данных

· конфиденциальность персональных данных

· распространение персональных данных

· использование персональных данных

· блокирование персональных данных

· уничтожение персональных данных

· обезличивание персональных данных

· общедоступные персональные данные и др

В положении об обработке персональных данных дается ссылка на перечень персональных данных, обрабатываемых в ИСПДн кадрового агентства. Сам этот перечень оформляется отдельным документом, утверждаемым приказом. В перечне прописываются все персональные данные, обрабатываемые в агентстве( о составе этих персональных данных было уже сказано в Главе 2) и основания для их обработки.

Важным моментом, на котором следует становиться поподробнее, является цель обработки персональных данных в кадровом агентстве. Здесь есть некоторые трудности. Ведь конечная цель работы любого кадрового агентства - это выполнение заявки, которая включает в себя трудоустройство конкретного соискателя. Но сопутствующая цель - это и наработка базы соискателей. Здесь возникает следующая проблема: как, достигнув цели по выполнению заказа, не растерять базу потенциальных кандидатов на другие вакансии? Опять же из специфики деятельности: база кандидатов складывается не только из кандидатов, ищущих на данный момент работу, но и людей, уже трудоустроенных через агентство. Можно следить за карьерным ростом кандидата и при повторном обращении в агентство и тем самым намного быстрее достигнуть целей обработки персональных данных.

Обозначив цель обработки персональных данных как трудоустройство, агентства сталкиваются с тем, что в соответствии со ст. 21 Федерального закона «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных». А значит, агентство должно уничтожить всю наработанную за время выполнения заявки заказчика базу данных.

Поэтому целесообразно сформулировать цель обработки как: деятельность организации по содействию субъекту персональных данных в части удовлетворения его интересов по трудоустройству. Таким образом, соблюдаются нормы Федерального закона и обеспечиваются интересы агентства. Это происходит за счет того, что напрямую не говорится, что конечно целью агентства является устроить человека на работу, а сказано лишь, что агентство будет содействовать в удовлетворении интересов его по трудоустройству. Это может значить на практике, что, например, человек пришел в агентство, оставил там свое резюме, ему вскоре благополучно нашли работу, но после этого он остается в базе данных агентства и менеджеры могут ему позвонить в любое время и предложить ему более высокооплачиваемую работу (как вариант) или просто другую вакансию,которая может заинтересовать его. Таким образом, интерес человека к поиску более хорошей работы сохраняется, скорее всего, постоянно, вне зависимости оттого, есть ли у него работа в данных момент или нет.

Что касается сроков обработки и хранения персональных данных, то целесообразно будет их определить следующим образом:

срок обработки персональных данных определяется достижением цели обработки Пдн либо отзывом согласия субъекта персональных данных на обработку его персональных данных.

В данном положении также необходимо прописать порядок получения, обработки, передачи и хранения, доступа к персональным данным и защиты персональных данных сотрудников и клиентов, а также ответственность за нарушение указанных выше норм.

Необходимо обеспечить такой порядок работы с персональными данными, при котором выполняются требования закона №152 «О персональных данных». Это предполагает, что все персональные данные должны быть получены непосредственно от самого субъекта, исключена обработка данных о расовой, национальной принадлежности субъектов, их религиозных, политических,философских убеждениях, интимной жизни и состоянии здоровья. Эти данные будут являться избыточными в работе кадрового агентства, следовательно, наше кадровое агентство не осуществляет сбора и обработки такого рода персональных данных.

Необходимо прописать, что кадровое агентство должно получить согласие субъекта персональных данных на обработку его персональных данных. При этом необходимо, чтобы субъект был уведомлен о том, для каких целей обрабатываются его персональные данные и каков срок обработки персональных данных. На практике это реализуется путем подписания соглашения с субъектом при заполнении им анкеты в кадровом агентстве. Аналогичное соглашение должно быть и на сайте кадрового агентства, где соискатель имеет возможность заполнить анкету и отставить свое резюме.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я,		,
	(Ф.И.О. полностью)
паспорт				, выдан		, кем выдан
	(серия)		(номер)		(дата выдачи)
			,
		(код подразделения)
проживающий по адресу:
		(индекс, страна/республика, край, область, населенный пункт)
	,
(улица, дом, корпус, квартира)

согласен на обработку приведенных в анкете моих персональных данных (Ф.И.О., контактная информация, фотографии, информация об образовании, информация о трудовой деятельности и т.д.) сотрудниками кадрового агентства ООО «Кадры» и размещение их в базе данных кадрового агентства ООО «Кадры».

Я согласен, что мои персональные данные будут доступны сотрудникам кадрового агентства ООО «Кадры» и использоваться для содействия мне в части удовлетворения моих интересов по трудоустройству.

Я проинформирован, что под обработкой персональных данных понимаются действия (операции) с персональными данными в рамках выполнения Федерального закона № 152 от 27.07.2006, конфиденциальность персональных данных соблюдается в рамках исполнения Оператором законодательства Российской Федерации.

Данное согласие действует до достижения оператором цели обработки моих персональных данных. Данное согласие может быть отозвано мной в установленном законом порядке.

(Дата)		(ФИО)		(Подпись)

Приведенный выше вариант должен использоваться в кадровом агентстве в случае, если соискатель лично приходит в кадровое агентство и заполняет собственноручно анкету. Если же он оставляет свое резюме на сайте кадрового агентства, то возможен следующий вариант: на сайте размещается соглашение об оказании услуг по содействию в трудоустройстве, далее указывается, что безусловным принятием (акцептом) условий настоящей оферты считается регистрация на сайте. Одним из пунктов данного соглашения указывается следующее:

В соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» Соискатель соглашается разместить свои персональные данные в форме Резюме, необходимые для содействия в удовлетворении интересов по трудоустройству, а также выражает свое согласие на осуществление со всеми указанными в Резюме персональными данными следующих действий: сбор, систематизацию, накопление, хранение, уточнение (обновление или изменение), использование, распространение, обезличивание, блокирование, уничтожение, а также обработку для целей исполнения Исполнителем своих обязательств по настоящему Соглашению, а также для продвижения услуг Исполнителя путем установления (включая направления сообщений) с помощью средств связи по контактной информации, указанной в Резюме.

В положении об обработке персональных данных необходимо определить круг лиц, имеющих право доступа к персональным данным. В кадровом агентстве такими лицами являются:

1. генеральный директор кадрового агентства

2. сотрудники отдела кадров (для персональных данных работников агентства)

3. сотрудники бухгалтерии(для персональных данных работников агентства)

4. менеджеры-рекрутеры

5. администратор безопасности ПДн

6. ответственный за обеспечение безопасности персональных данных

Перечень лиц утверждается приказом «Об утверждении списка должностных лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе». В списке лиц указывается должность и ФИО пользователей ИСПДн. Например:

№ п/п	Занимаемая должность	Фамилия, имя, отчество
	Генеральный директор	И.И. Иванов
	Менеджер	Ю.С. Сидоров
	Менеджер	Т.В. Петрова

Администратор безопасности и ответственный за обеспечение безопасности персональных данных также назначаются приказом руководителя организации. Администратором безопасности можно назначить, например, системного администратора, обслуживающего сеть кадрового агентства. Ответственным за обеспечение безопасности персональных данных можно назначить заместителя директора.

3.3Положение об обеспечении безопасноти персональных данных в ИСПДн кадрового агентства

Еще одним важным документом, связанным с персональными данными,который необходимо разработать в рассматриваемом кадровом агентстве, является «Положение об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных». Данное положение, как и положение об обработке персональных данных, утверждается приказом генерального директора кадрового агентства.

Данное положение разрабатывается в соответствии с Законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», методическими рекомендациями ФСТЭК России и ФСБ России в целях обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Положение предназначено для регламентации обеспечения безопасности персональных данных в следующих аспектах:

7. порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке

8. порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных

9. порядок приостановки обработки ПДн в случае обнаружения нарушений порядка их обработки

10. порядок обучения персонала практике работы в ИСПДн

11. порядок проверки электронного журнала обращений к ИСПДн

12. порядок контроля соблюдения условий использования средств защиты информации

13. правила обновления общесистемного и прикладного программного обеспечения

14. правила организации антивирусной защиты и парольной защиты ИСПДн

15. порядок охраны и допуска посторонних лиц в защищаемые помещения

Одним из наиболее важных разделов положения является раздел, регламентирующий порядок работы персонала в части обеспечения безопасности персональных данных. В данном разделе необходимо определить круг обязанностей пользователей ИСПДн и ввести определенные запреты. Таким образом получается свод правил для пользователей, неукоснительное следование которым позволит решить многие из проблем защиты персональных данных в организации.

Итак, в данном разделе должно быть закреплено, что пользователь имеет право решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, утверждаемой руководителем организации. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей. Матрица доступа для рассматриваемого в данной работе кадрового агентства будет выглядеть следующим образом:

РАЗРЕШИТЕЛЬНАЯ СИСТЕМА ДОСТУПА

к информационным ресурсам, программным и техническим средствам

К работе с автоматизированной системой обработки персональных данных кадрового агентства ООО «Кадры» допущены следующие сотрудники:

№ п/п	Пользователь (группа пользователей)	Должность
	Администратор безопасности	Администратор сети
	Пользователь № 1	Менеджер-рекрутер
	Пользователь № 2	Оператор базы данных
	Ответственный за обеспечение безопасности ПДн	Зам. Генерального директора

Перечень информационных ресурсов, программных и технических средств (объектов доступа), входящих в состав АС:

№ п/п	Наименование средства (ресурса)	Назначение средства (расположение ресурса)	Носители	Примечание
Информационные ресурсы
	Информация о работодателях(текстовые файлы)	Абсолютный путь к указанным файлам	НЖМД инв. № _____
	Резюме соискателей (текстовые файлы)	Абсолютный путь к указанным файлам	НЖМД инв. № _____
Технические средства
	Устройство вывода информации (принтер)	Выдача документов на бумажные носители информации	Учтенные бумажные носители
	НЖМД	Хранение информации в электронном виде	НЖМД инв. № _____
Программные средства (установлены на НЖМД инв. № _____________)
	Наименование ОС	Операционная система	путь к ПО
	Наименование	Пакет офисных программ	путь к ПО
	Наименование	Программа антивирусного контроля	путь к ПО
	Наименование	Программа архивации информации	путь к ПО
	Наименование	Программа для просмотра pdf-файлов	путь к ПО
	Наименование	Программа управления файлами и каталогами ПЭВМ	путь к ПО
	Наименование	Программа для работы с базой данных соискателей и работодателей в кадровом агенстстве	путь к ПО

Полномочия доступа пользователей к информационным ресурсам, программным и техническим средствам АС:

№ п/п	Наименование ресурса, тип средства		Путь доступа	Полномочия доступа пользователей (групп пользователей)
				Администратор безопасности	Пользователь № 1	Пользователь № 2	Ответсвенный за ОБПДн	Пользователь № 4
Информационные ресурсы
	Информация о работодателях(текстовые файлы)		C:/Документы 1 НЖМД инв. № _____	-	Полный доступ	Нет доступа	Нет доступа	Нет доступа
Резюме соискателей (текстовые файлы)	Резюме соискателей (текстовые файлы)		C:/Документы 2 НЖМД инв. № _____	-	Полный доступ	Полный доступ	Нет доступа	Нет доступа
Технические средства
	Устройство вывода информации (принтер)		Порт _____	Вывод информации (печать)	Вывод информации (печать)	Вывод информации (печать)	Вывод информации (печать)	Вывод информации (печать)
	НЖМД		путь	Чтение и запись	Чтение и запись	Чтение и запись	Чтение и запись	Чтение и запись
Программные средства
Операционная система	Операционная система		Путь к ПО	Отладка и настройка	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение
	Пакет офисных программ		Путь к ПО	Отладка и настройка	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение
	Программа антивирусного контроля		Путь к ПО	Отладка и настройка	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение
	Программа архивации информации		Путь к ПО	Отладка и настройка	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение
	Программа для просмотра pdf-файлов		Путь к ПО	Отладка и настройка	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение	Запуск на выполнение
	Программа управления файлами и каталогами ПЭВМ		Путь к ПО	Отладка и настройка
	Программа для работы с базой данных соискателей и работодателей в кадровом агенстстве		Путь к ПО	Отладка и настройка

Необходимо установить персональную ответственность сотрудников, участвующих в процессе обработки персональных данных и имеющих доступ к ИСПДн. В положении важно прописать, что сотрудники обязаны строго соблюдать установленные правила обеспечения безопасности персональных данных при работе с ИСПДн, а также правила обращения со средствами защиты, установленными на компьютерах ИСПДн. Также сотрудники обязаны хранить в тайне свой пароль и проводить периодическую смену пароля в соответствии с правилами парольной защиты, которые также должны быть прописаны в данном положении.

Важным моментом является и регламентация действий сотрудника при обнаружении целостности пломб (наклеек) на средствах вычислительной техники, несанкционированных изменений в конфигурации программных и аппаратных средств ИСПДн, отклонений и сбоев в работе средств ИСПДн. В случае обнаружения вышеуказанных действий сотрудник обязан немедленно известить о данных фактах администратора безопасности и ответственного за обеспечение безопасности персональных данных.

Кроме обязанностей пользователей ИСПДн необходимо обозначить и список запретов. Целесообразно ввести следующие запреты:

самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства

использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях;

осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;

записывать и хранить защищаемую информацию на неучтенных машинных носителях информации

оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию

размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации.

В положении также необходимо определить порядок работы по обучению персонала практическим навыкам соблюдения правил по обеспечению безопасности Пдн. Пользователей ИСПДн необходимо под роспись ознакомить с инструкциями по использованию средств защиты. На администратора безопасности возлагается ответственность по обучению персонала пользованию средствами защиты. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты по программному и техническому обеспечению, а также специалисты органов по аттестации объектов ИСПДн.

Помимо работы по обучению персонала на администратора безопасности возлагаются также функции по резервному копированию, восстановлению работоспособности баз данных, программного обеспечения, аппаратных средств и средств защиты информации, работе с антивирусным программным обеспечением(настройка, обновление), контролю соблюдения правил парольной защиты, обновлению программного обеспечения. Контроль за соблюдением регламентов по обеспечению безопасности персональных данных возлагается главным образом на ответственного за обеспечение безопасности персональных данных.

Таким образом, разработка данного положения обеспечивает принятие набора необходимых организационных мер для обеспечения безопасности персональных данных при их обработке в ИСПДн. Комплекс организационных мер позволяет удовлетворить значительную часть требований по защите персональных данных.



3.4Разработка модели угроз для ИСПДн кадрового агентства

Следующим важным шагом на пути к построению системы защиты персональных данных в кадровом агентстве является написание модели угроз. Необходимо дать определение угрозы безопасности персональных данных.

Угроза безопасности персональных данных - это совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Модель угроз представляет собой перечень возможных угроз рассматриваемой ИСПДн и строится в соответствии со следующими действующими нормативно-методическими документами в области защиты персональных данных:

• Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

• Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановления Правительства Российской Федерации от 17 ноября 2007 года № 781;

• Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11462);

• Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом директора ФСТЭК России №58 от 5 февраля 2010 года);

• Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);

• Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России).

Модель угроз предназначена для решения следующих задач:

- анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;

- разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

- проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

- недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;

- контроль за обеспечением уровня защищенности персональных данных.

При составлении модели угроз в качестве базовых принимаются следующие принципы:

1) Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных.

2) При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее - прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее - косвенные угрозы) или косвенных угроз.

3) Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.

4) Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий.

5) Нарушитель может действовать на различных этапах жизненного цикла ИСПДн.

Согласно базовой модели угроз, описание каждой из угроз безопасности персональных данх осуществляется следующим образом: угроза НСД в ИСПДн: = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Важным шагом является актуализация угроз. Для актуализации угроз используется «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для Пдн.

Для оценки возможности реализации угрозы используются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Уровень исходной защищенности ИСПДн оценивается при помощи следующей таблицы.



Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний
1. По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;	-	-
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);	-	-
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;	-	+
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;	-	+
локальная ИСПДн, развернутая в пределах одного здания	+	-
2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования;	-	-
ИСПДн, имеющая одноточечный выход в сеть общего пользования;	-	+
ИСПДн, физически отделенная от сети общего пользования	+	-
3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск;	+	-
запись, удаление, сортировка;	-	+
модификация, передача	-	-
4. По разграничению доступа к персональным данным:	-	+
ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;	-	-
ИСПДн с открытым доступом	-	-
5. По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);	-	-
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	+	-
6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)	+ - -	- + -
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю базу данных с ПДн;	-	-
ИСПДн, предоставляющая часть ПДн;	-	+
ИСПДн, не предоставляющая никакой информации.	+	-

Исходная степень защищенности определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент, а именно:

0 - для высокой степени исходной защищенности;

5 - для средней степени исходной защищенности;

10 - для низкой степени исходной защищенности.

Рассматриваемая в данной работе ИСПДн кадрового агентства имеет коэффициент исходной защищенности Y=5, что соответствует средней степени защищенности.

Меры для нейтрализации угрозы считаются принятыми и достаточными, если они позволяют нейтрализовать все компоненты угрозы. Меры считаются принятыми, но недостаточными, если нейтрализуются не все компоненты угрозы. Меры считаются не принятыми, если они не позволяют нейтрализовать ни один компонент угрозы. Решение о наличии мер для нейтрализации каждой угрозы принимается на основе обследования ИСПДн.