Как защитить персональные данные работников и клиентов | Журнал «Главная книга» | № 19 за 2013 г.
БУХГАЛТЕРСКИЕ Новости Статьи Консультации Семинары Конференции
Календари Калькуляторы Формы Справочники Тесты
БУХГАЛТЕРСКИЕ
БУХГАЛТЕРСКИЕ
ПОПУЛЯРНЫЕ НОВОСТИ
Страховые взносы ИП за себя: налоговики подготовили памятку по расчету

Индивидуальные предприниматели независимо от применяемой системы налогообложения обязаны уплачивать взносы за себя на ОПС и ОМС. Налоговая служба напомнила основные положения, связанные с исчислением таких взносов. < ... >

Основной вид деятельности подтверждаем все-таки со старыми ОКВЭД

Наконец-то устранена неопределенность по вопросам заполнения и срока представления документов для подтверждения основного вида деятельности для взносов «на травматизм» на 2017 год. Исчерпывающие разъяснения мы получили от Департамента страхования профессиональных рисков ФСС. < ... >

Оформление работников как ИП – опасная схема уклонения от НДФЛ

Если компания для экономии на налогах, вместо того, чтобы набрать штат работников, заключила с несколькими ИП договоры на оказание услуг, налоговики все равно могут признать работу таких ИП трудовой деятельностью и привлечь хитрого работодателя к ответственности за уклонение от обязанностей налогового агента по НДФЛ. < ... >

Электронную 4-ФСС за I квартал отправляем по новому формату

Соцстрах наконец-то утвердил электронный формат обновленного расчета 4-ФСС. Напомним, что в связи с тем, что с этого года в ведении Фонда остались только взносы «на травматизм», расчет значительно «похудел». < ... >

Какую бухотчетность «малыши» должны сдавать в ИФНС

Все организации, независимо от применяемого режима налогообложения, обязаны раз в год представлять в налоговую инспекцию бухгалтерскую (финансовую) отчетность. Для представителей малого бизнеса состав отчетности зависит от выбранного способа ведения бухучета. < ... >

Сдаем бухгалтерскую отчетность за 2016 год

Не позднее 31 марта все организации независимо от режима налогообложения должны сдать бухгалтерскую отчетность – 2016 в ИФНС и в отделение Росстат. < ... >

Страховые взносы-2017: контрольные соотношения к расчету и памятка «про все»

Налоговики опубликовали контрольные соотношения для проверки правильности заполнения нового единого расчета по страховым взносам, а также в краткой форме рассказали страхователям об основных моментах нового порядка уплаты взносов. < ... >

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 30 сентября 2013 г.

Содержание журнала № 19 за 2013 г.
Беседовала корреспондент ГК А.В. Хорошавкина

Как защитить персональные данные работников и клиентов

ЛЮБЕЗНЫЙ Виктор Владимирович
ЛЮБЕЗНЫЙ Виктор Владимирович
Ведущий разработчик программных продуктов компании «Бухсофт.ру»

Защита персональных данных сотрудников организации и постоянных клиентов — активно обсуждаемая в последние годы тема. Ведь личная информация должна храниться так, чтобы никто посторонний не мог получить к ней доступЗакон от 27.07.2006 № 152-ФЗ.

Как уберечь персональные данные от случайной или тем более преднамеренной утечки, рассказывает наш собеседник.

Виктор Владимирович, небольшие организации не всегда могут для защиты персональных данных нанять отдельного специалиста. Что же делать?

В.В. Любезный: Если вы ограничены в средствах, защищайте персональные данные своими силами. Главное — выполнять требования Закона № 152-ФЗ и подзаконных актов, где подробно прописаны конкретные меры по защите персональных данныхПостановление Правительства от 01.11.2012 № 1119 (далее — Постановление № 1119); Приказ ФСТЭК от 18.02.2013 № 21. Желательно пригласить консультанта, который проанализирует ваш бизнес с точки зрения возможных проблем и даст рекомендации.

Что именно надо предпринять для защиты персональных данных?

В.В. Любезный: Защите подлежат не просто персональные данные, а вся информационная система, то есть программы, с помощью которых они обрабатываются, и компьютеры, на которых они хранятсяст. 2 Закона от 27.07.2006 № 149-ФЗ. Если весь учет персональных данных ведется в бухгалтерии на единственном компьютере, то защищать надо бухгалтерскую программу, базу данных бухгалтерской программы, пакет офисных программ, операционную систему, компьютер, монитор и подключенный к компьютеру принтер. Если компьютер соединен с локальной сетью, надо защищать и сетевое оборудование, кабели, сервер.

От характера и объема (до 100 тысяч лиц или свыше) персональных данных зависит, как именно их надо защищать. Имеет значение и то, обрабатываются персональные данные только сотрудников организации или кого-то еще, например клиентов. Если в системе хранятся данные о состоянии здоровья людей, их политических взглядах, физиологических и биологических особенностяхстатьи 10, 11 Закона от 27.07.2006 № 152-ФЗ, требования к уровню защищенности информационной системы повышаются.

Необходимый уровень защищенности информационной системы — всего их четыре — зависит еще и от актуальных угроз. Чем больше у информационной системы актуальных угроз, тем строже требования к защищенностиПостановление № 1119.

Что это такое — актуальные угрозы?

В.В. Любезный: Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза — это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например офисных, бухгалтерских, почтовых.

Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.

Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.

Какие еще бывают угрозы?

В.В. Любезный: Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.

Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.

А какой уровень защищенности информационной системы должен быть у обычной организации, которая никаких персональных данных посторонних лиц не обрабатывает и не хранит?

В.В. Любезный: Если компьютеры с персональными данными сотрудников имеют выход в Интернет, то актуальны угрозы второго типа. И информационные системы в большинстве своем должны иметь третий уровень защищенности.

Какими конкретно мерами надо обеспечить этот третий уровень защищенности?

В.В. Любезный: Эти меры перечислены в Постановлении Правительства № 1119 и Приказе ФСТЭК № 21. Там же установлен порядок их использования для конкретных информационных систем. Если вы не можете реализовать какую-то из этих мер или это для вас слишком дорого, Приказ разрешает заменить ее другой, компенсирующей мерой.

Для начала надо назначить приказом работника, ответственного за обеспечение безопасности персональных данных в информационной системе.

Также приказом надо утвердить перечень сотрудников, которые имеют право доступа к персональным данным. Другие люди в помещение, где размещена система персональных данных, допускаться не должны. На дверях необходимы замки. Ключи должны быть только у сотрудников с правом доступа к информационной системе, а запасной ключ нужно хранить в сейфе руководителя организации. Когда сотрудники выходят из помещения, они должны выключать приборы и обязательно запирать двери и окна. Это надо прописать в правилах внутреннего распорядка.

Необходимо полностью исключить возможность того, чтобы персональные данные мог увидеть и тем более скачать кто-то кроме ответственных лиц. Поэтому рабочие места в помещении, где стоит система, надо разместить так, чтобы из окна или двери нельзя было подсмотреть информацию на мониторах сотрудников и в документах, с которыми они работают.

Но как сделать это на практике? Например, персональные данные всех сотрудников организации хранятся в бухгалтерии. Неужели надо запретить сотрудникам других отделов заходить туда?

В.В. Любезный: Нет, совсем запрещать не надо. Самое главное — не допускать «неконтролируемого проникновения» посторонних в помещениеподп. «а» п. 13 Требований, утв. Постановлением № 1119. А «контролируемое» пребывание в бухгалтерии сотрудников организации в присутствии ответственного бухгалтера допускается.

Что еще нужно сделать?

В.В. Любезный: Для каждого сотрудника, работающего с персональными данными, надо завести отдельную учетную запись для входа в компьютер. Для того чтобы поработать, он должен ввести свое имя и пароль (причем этот пароль не должен быть виден на экране) либо приложить электронный ключ.

Компьютеры должны быть настроены так, чтобы после нескольких неправильных попыток ввода пароля учетная запись пользователя блокировалась. А если пользователь бездействует на протяжении нескольких минут, вход в систему закрывается. И чтобы начать работать, нужно вводить пароль снова.

Каждый пользователь должен иметь право совершать только те действия, которые определены его трудовыми обязанностями. Конечно, урезать права надо в разумных пределах, ведь может возникнуть ситуация, когда одному сотруднику приходится подменять другого.

Если кто-то из сотрудников работает удаленно, между его компьютером и сервером фирмы надо организовать зашифрованный канал связи.

Если с системой персональных данных работают только ответственные сотрудники и они не переписывают информацию на флешки и не выходят в Интернет, этого достаточно?

В.В. Любезный: Утечка персональных данных может произойти не только через Интернет. Надо обеспечить сохранность носителей персональных данных.

Внутренние носители (жесткие диски или SSD-носители) находятся внутри компьютеров, серверов, сетевых хранилищ. И меры их защиты те же самые, о которых я уже говорил: не допускать посторонних в помещение. Если при ремонте из компьютера извлекается носитель, он должен храниться в запирающемся шкафу, желательно в сейфе. Внешние носители (флешки, дискеты, карты памяти, сменные жесткие диски) тоже надо хранить под замком. Если вы носите флешку с собой, защитить ее от кражи полностью, к сожалению, невозможно. Но желательно выбрать такую модель флешки, данные на которой защищаются паролем или ПИН-кодом. Не зная их, записанный на такую флешку файл прочитать не удастся. Если техника отслужила свой срок, ее нельзя просто выбросить на помойку. Многие модели уничтожителей документов способны уничтожать не только бумагу, но и CD- и DVD-диски. Можно и просто разломать такой диск на части. Лучше делать это в пакете: при разламывании от диска могут отлететь мелкие кусочки и повредить глаза.

Жесткий диск лучше всего размагнитить. Но для этого требуется специальное оборудование. Если такого оборудования у вас нет, можно вскрыть гермоблок, извлечь металлические диски, на которых записана информация, зачистить их шкуркой с двух сторон и сдать на металлолом. У SSD-носителей и флешек можно вытащить электронные платы и измельчить микросхемы дремелем или другим режущим инструментом.

Надо ли для защиты персональных данных использовать антивирусные программы?

В.В. Любезный: Конечно. На компьютерах с информационной системой должен стоять современный антивирус, желательно с сетевым экраном. Сетевой экран — это специальная программа, анализирующая обмен данными между компьютером и сетью. Она позволяет блокировать трафик, определять и пресекать атаки на компьютер. Операционная система, антивирус, прикладные программы должны автоматически обновляться.

Wi-Fi, если в нем нет необходимости, надо отключить. Если он нужен, то доступ посторонним надо закрыть длинным, стойким к подбору паролем. То есть пароль должен быть бессмысленным или случайным набором букв, цифр и других символов, желательно не менее восьми.

События, связанные с информационной безопасностью (например, вход пользователя в систему, неудачная попытка входа в систему, попытка входа под заблокированной учетной записью и т. п.), должны записываться в специальный журнал. В Win­dows такой журнал ведется автоматически. Если была попытка кражи данных, просмотр журнала поможет разобраться в произошедшем, например понять, кто работал за компьютером в этот момент.

Может ли кто-то проверить, как соблюдаются все эти меры?

В.В. Любезный: Конечно, к вам могут прийти контролеры из Роскомнадзора и проверить, выполняете ли вы все процедуры определения актуальных для информационной системы угроз и необходимого уровня ее защищенности. И достаточно ли для защиты системы тех мер безопасности, которые вы применяете. Поэтому советую подготовить и хранить документы:

протокол определения и оценки актуальности угроз безопасности обрабатываемых системой персональных данных;
протокол определения типов актуальных угроз и необходимого уровня защищенности информационной системы персональных данных;
протоколы определения и адаптации базового набора мер по обеспечению безопасности;
приказ об утверждении и организации выполнения окончательного набора мер безопасности;
акты о выполнении работ по безопасности, приказ о назначении ответственного сотрудника или структурного подразделения.

Не реже чем раз в 3 года эффективность применяемых вами мер надо проверять и составлять об этом протокол. Также желательно утвердить регламент технического обслуживания и использования информационной системы. В нем надо прописать периодичность и состав мероприятий по контролю работоспособности системы, средства защиты информации, процедуры работы с носителями персональных данных (установка, учет, изъятие, отправка в ремонт или на утилизацию), порядок привлечения новых сотрудников к работе с персональными данными и действия при увольнении сотрудника. А самое главное — неотложные действия конкретных лиц в различных нештатных ситуациях.

Хотя формального требования иметь такой регламент нет, проверяющие его обычно требуют. Но он нужен и вам, чтобы ничего не забыть. Ведь при работе с такими сложными системами, как системы хранения и обработки персональных данных, нарушение порядка действий может привести к тому, что вся система выйдет из строя. Для сотрудников надо составить подробную инструкцию по безопасности при работе в информационной системе персональных данных, следует ознакомить их с ней под роспись. Ее тоже могут потребовать проверяющие.

Что надо дополнительно сделать, если у нас хранятся данные посторонних лиц: родственников сотрудников, партнеров, клиентов?

В.В. Любезный: Если у вас хранятся данные меньше чем 100 тысяч людей, не являющихся вашими сотрудниками, никаких дополнительных мер не нужно. И неважно, кто это — родственники сотрудников, партнеры или клиенты. Ваша система персональных данных останется на третьем уровне защищенности.

Если у вас хранятся данные больше чем 100 тысяч человек, уровень защищенности системы должен быть выше — второй или даже первый. Они требуют дополнительных мер безопасности. Например, надо организовать защиту от спама, обязательно создавать резервные копии баз данных. Есть и более сложные требования: контроль целостности программного обеспечения, обнаружение вторжений. Выполнить их, не привлекая специалистов по безопасности, трудно.

Другие статьи журнала «ГЛАВНАЯ КНИГА» на тему «Документооборот»:

2016 г.

  1. Документооборот, № 24
  2. Восстанавливаем утраченные документы, № 20
  3. Бухгалтерские документы: составляем, заполняем, подписываем, № 20
  4. В электронную подпись желательно включить отметку о времени, № 15
  5. ФНС может принимать электронные документы только утвержденных форматов, № 13
  6. Исправляем бухгалтерскую первичку, № 10
  7. Электронный документ — не просто созданный на компьютере, № 5
  8. Оформляем приказ о возложении обязанностей главбуха на директора, № 4
  9. Передаем учет аутсорсеру, № 3

2015 г.

  1. Кто ответит за электронную подпись?, № 21
  2. Электронные документы: нужна ли их распечатка?, № 18
  3. Как упрощенцу подтвердить оплату расходов наличными предпринимателю, № 18
  4. Нужна ли печать на судебной доверенности, № 15
  5. Выполнение работ по «давальческому» договору, № 15
  6. ООО решило сменить название: пошаговая инструкция, № 13
  7. Подписываем документ: что, где и как, № 11
  8. Отказ от круглой печати: стоит ли спешить?, № 10
  9. Хочу все знать: расчеты с подотчетными лицами, № 8
  10. Сокращаем документооборот на складе, № 8
  11. Рукописи не горят бесплатно... Учитываем расходы на уничтожение документов, № 8
  12. Счет не получен вовремя: будет ли просрочка оплаты, № 7

2014 г.

  1. Усы, лапы, хвост — вот мои документы!, № 22
  2. Собираем досье на контрагента, № 18
  3. Можно ли «подписать» первичку только по факсу?, № 18
  4. Мастер-класс юриста: договор оказания услуг, № 17
  5. Бухгалтерское прочтение договора поставки, № 10
  6. Мастер-класс: проверяем договор аренды помещения, № 7
  7. Обмен опытом: документооборот по давальческим материалам в строительстве, № 5
  8. Кто, кроме директора, может подписать акт об оказании услуг, № 4
  9. Первичка: как сохранить и... выбросить, № 2

2013 г.

  1. Гибридный счет-фактура: несекретная разработка ФНС, № 22
  2. Запрос в Минфин: азбука эффективного общения, № 22
  3. Заполняем без ошибок платежки на перечисление налогов и взносов, № 20
  4. Как защитить персональные данные работников и клиентов, № 19
  5. Как уничтожить первичку после истечения срока ее хранения, № 15
  6. Приемка и списание материалов: оформляем документы, № 12
  7. Электронный документооборот с контрагентами: с чего начать, № 10
  8. Печать фирмы: изготавливаем, используем, утилизируем, № 9
  9. Печать — постоянная спутница фирмы?, № 9
  10. Разрабатываем удобный регистр по НДФЛ, № 8
  11. Обнаружили недостачу: составляем претензию контрагенту, № 8
  12. Когда пригодятся скриншоты, № 6
  13. Идеальный акт об оказании услуг для налогового инспектора, № 6
  14. Документооборот: выстраиваем «под бухгалтерию», № 5
  15. Договор поставки: читаем по слогам, № 5
  16. Унифицированные формы первички необязательны, а что с БСО?, № 4
  17. Как не допустить атаку на «Клиент-Банк», № 3

2012 г.

  1. «Инвентаризационная» подборка, № 24
  2. Условия гражданско-правовых договоров и их налоговые последствия, № 24
  3. Положение об охране труда: ваш помощник в учете трат на комфорт, № 24
  4. Упрощенка: списываем в расходы проданные товары, № 24
  5. Первичка: унифицированная и не очень, № 23
  6. Выдаем справку о зарплате для расчета пособий в нестандартных ситуациях, № 22
  7. Подотчет и наличные расходы, № 21
  8. Какие подотчетные документы не вызовут претензий налоговиков, № 20
  9. Учимся писать записки: докладные, служебные, объяснительные, № 20
  10. Почему при поставке иногда недостаточно счета на оплату и нужен договор, № 19
  11. Может ли первичка с дефектом подтверждать расходы и вычеты НДС, № 19
  12. У кого остаются оригиналы документов при уступке долга: у старого или у нового кредитора, № 19
  13. Правильно оформляем первичку и не только, № 16
  14. Вся правда о доверенности, № 14
  15. Направляем претензию контрагенту, задержавшему поставку или оплату, № 14
  16. Документируем брак основного средства и его возврат поставщику, № 14
  17. «Просроченный» директор: как работать бухгалтеру?, № 13
  18. Нужны ли покупателю для налогового учета ТН и ТТН при договоре транспортной экспедиции, № 10
  19. Готовая инструкция для подотчетника, № 9
  20. Справки и документы с места работы: кому, когда, какие, № 2
  21. Как заверить копию документа «надлежащим» образом, № 1

2011 г.

  1. Список важных предновогодних дел, № 24
  2. Оформляем документы для защиты личных данных работников, № 24
  3. Учетная политика: проверь себя, № 23
  4. Моделируем учетную политику для мини-фирмы, № 23
  5. На что бухгалтеру обратить внимание в договоре купли-продажи, № 22
  6. Договор транспортной экспедиции: как избежать проблем с НДС, № 21
  7. Нюансы заполнения новой транспортной накладной, № 20
  8. Учитываем приобретенные ТМЦ под другим наименованием, № 19
  9. Путевой лист делаем «путёвым», № 19
  10. Доверенность, вернись!, № 17
  11. Как подписаться электронной подписью, № 17
  12. Когда нужен акт по форме № КМ-3, № 17
  13. Когда можно использовать дополнительные печати, № 16
  14. Ох уж этот подотчет..., № 11
  15. Когда, кому и зачем нужна ТТН, № 6
  16. Директор путает счет компании с собственным карманом, № 5
  17. Что можно, а что нельзя подписывать факсимиле, № 4
ИНДЕКСЫ
в России Индекс
потребительских цен

Используется
для индексации зарплаты

0.22%
февраль 2017 г.
0
Минимальный
размер оплаты труда

Используется для
регулирования зарплаты

7 500

Примечание

История

ОПРОС
Как вы показали в справках 2-НДФЛ за 2016 год «производственные» премии, выплаченные вместе с зарплатой?
Одной суммой с зарплатой с кодом 2000
Отдельно с кодом 2002 за тот месяц, за работу в котором была начислена премия
Отдельно с кодом 2002 за месяц выплаты премии

ЕЖЕДНЕВНАЯ
НОВОСТНАЯ
РАССЫЛКА
РАБОЧИЙ СТОЛ БУХГАЛТЕРА

«ГЛАВНАЯ КНИГА»
РЕКОМЕНДУЕТ
VIII открытая ежегодная Налоговая неделяПодписка на ГК_2017
БЛИЖАЙШИЕ БУХГАЛТЕРСКИЕ МЕРОПРИЯТИЯ
11.03.2017

Обучение МСФО. ДипИФР. Весна 2017., Компания "Профессиональная Арена"

03.04.2017

VIII ежегодная открытая Налоговая неделя, Палата налоговых консультантов

12.04.2017

XVI Открытая конференция «Бухгалтерский учет, налог на прибыль и НДС в 2017 году», Единый центр правовой поддержки «Ю-Софт»