Как защитить персональные данные работников и клиентов | Журнал «Главная книга» | № 19 за 2013 г.
БУХГАЛТЕРСКИЕ Новости Статьи Консультации Семинары Конференции
Календари Калькуляторы Формы Справочники Тесты
БУХГАЛТЕРСКИЕ
БУХГАЛТЕРСКИЕ
ПОПУЛЯРНЫЕ НОВОСТИ
Доверенность на получение материалов теперь без печати

Официально опубликован Приказ Минфина, вносящий изменения в Методические указания по бухучету МПЗ. Утвержденные поправки связаны с тем, что использование организациями печати больше не обязательно. < ... >

Статотчетность за 2016: какой ОКВЭД указывать

С 01.01.2017 старый классификатор видов экономической деятельности (ОКВЭД) больше не действует. С этого года применяется только ОКВЭД2. Московское отделение Росстата разъяснило, какие коды указывать при сдаче статистической отчетности за 2016 год. < ... >

Практика рассмотрения налоговых споров в 2016 году

Иногда чужой опыт помогает плательщикам отбиться от претензий налоговиков, а иногда наоборот – понять, что в случае судебного спора судьи поддержат именно ИФНС. Поэтому для вас мы сделали подборку самых интересных судебных решений. < ... >

КБК по взносам-2017: опубликована сопоставительная таблица

ФНС напоминает, что с 01.01.2017 администрированием страховых взносов будут заниматься налоговики. В связи с этим, со следующего года при перечислении взносов в бюджет будут использоваться новые КБК. Для удобства плательщиков, подготовлена сопоставительная таблица старых и новых кодов. < ... >

Чего ждать от нового года...

Каждый приходящий год знаменуется какими-то бухгалерско-налоговыми новшествами. Наступающий 2017 год не стал исключением. Мы расскажем о самых интересных из них. < ... >

План проверок на 2017 год уже готов

На официальном сайте Генпрокуратуры опубликован сводный план проверок организаций и ИП, назначенных на 2017 год. < ... >

Декларация по НДС обновлена

Официально опубликована откорректированная форма декларации по НДС. В бланк отчетности внесены поправки, связанные с недавними изменениями налогового законодательства. < ... >

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 30 сентября 2013 г.

Содержание журнала № 19 за 2013 г.
Беседовала корреспондент ГК А.В. Хорошавкина

Как защитить персональные данные работников и клиентов

ЛЮБЕЗНЫЙ Виктор Владимирович
ЛЮБЕЗНЫЙ Виктор Владимирович
Ведущий разработчик программных продуктов компании «Бухсофт.ру»

Защита персональных данных сотрудников организации и постоянных клиентов — активно обсуждаемая в последние годы тема. Ведь личная информация должна храниться так, чтобы никто посторонний не мог получить к ней доступЗакон от 27.07.2006 № 152-ФЗ.

Как уберечь персональные данные от случайной или тем более преднамеренной утечки, рассказывает наш собеседник.

Виктор Владимирович, небольшие организации не всегда могут для защиты персональных данных нанять отдельного специалиста. Что же делать?

В.В. Любезный: Если вы ограничены в средствах, защищайте персональные данные своими силами. Главное — выполнять требования Закона № 152-ФЗ и подзаконных актов, где подробно прописаны конкретные меры по защите персональных данныхПостановление Правительства от 01.11.2012 № 1119 (далее — Постановление № 1119); Приказ ФСТЭК от 18.02.2013 № 21. Желательно пригласить консультанта, который проанализирует ваш бизнес с точки зрения возможных проблем и даст рекомендации.

Что именно надо предпринять для защиты персональных данных?

В.В. Любезный: Защите подлежат не просто персональные данные, а вся информационная система, то есть программы, с помощью которых они обрабатываются, и компьютеры, на которых они хранятсяст. 2 Закона от 27.07.2006 № 149-ФЗ. Если весь учет персональных данных ведется в бухгалтерии на единственном компьютере, то защищать надо бухгалтерскую программу, базу данных бухгалтерской программы, пакет офисных программ, операционную систему, компьютер, монитор и подключенный к компьютеру принтер. Если компьютер соединен с локальной сетью, надо защищать и сетевое оборудование, кабели, сервер.

От характера и объема (до 100 тысяч лиц или свыше) персональных данных зависит, как именно их надо защищать. Имеет значение и то, обрабатываются персональные данные только сотрудников организации или кого-то еще, например клиентов. Если в системе хранятся данные о состоянии здоровья людей, их политических взглядах, физиологических и биологических особенностяхстатьи 10, 11 Закона от 27.07.2006 № 152-ФЗ, требования к уровню защищенности информационной системы повышаются.

Необходимый уровень защищенности информационной системы — всего их четыре — зависит еще и от актуальных угроз. Чем больше у информационной системы актуальных угроз, тем строже требования к защищенностиПостановление № 1119.

Что это такое — актуальные угрозы?

В.В. Любезный: Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза — это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например офисных, бухгалтерских, почтовых.

Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.

Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.

Какие еще бывают угрозы?

В.В. Любезный: Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.

Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.

А какой уровень защищенности информационной системы должен быть у обычной организации, которая никаких персональных данных посторонних лиц не обрабатывает и не хранит?

В.В. Любезный: Если компьютеры с персональными данными сотрудников имеют выход в Интернет, то актуальны угрозы второго типа. И информационные системы в большинстве своем должны иметь третий уровень защищенности.

Какими конкретно мерами надо обеспечить этот третий уровень защищенности?

В.В. Любезный: Эти меры перечислены в Постановлении Правительства № 1119 и Приказе ФСТЭК № 21. Там же установлен порядок их использования для конкретных информационных систем. Если вы не можете реализовать какую-то из этих мер или это для вас слишком дорого, Приказ разрешает заменить ее другой, компенсирующей мерой.

Для начала надо назначить приказом работника, ответственного за обеспечение безопасности персональных данных в информационной системе.

Также приказом надо утвердить перечень сотрудников, которые имеют право доступа к персональным данным. Другие люди в помещение, где размещена система персональных данных, допускаться не должны. На дверях необходимы замки. Ключи должны быть только у сотрудников с правом доступа к информационной системе, а запасной ключ нужно хранить в сейфе руководителя организации. Когда сотрудники выходят из помещения, они должны выключать приборы и обязательно запирать двери и окна. Это надо прописать в правилах внутреннего распорядка.

Необходимо полностью исключить возможность того, чтобы персональные данные мог увидеть и тем более скачать кто-то кроме ответственных лиц. Поэтому рабочие места в помещении, где стоит система, надо разместить так, чтобы из окна или двери нельзя было подсмотреть информацию на мониторах сотрудников и в документах, с которыми они работают.

Но как сделать это на практике? Например, персональные данные всех сотрудников организации хранятся в бухгалтерии. Неужели надо запретить сотрудникам других отделов заходить туда?

В.В. Любезный: Нет, совсем запрещать не надо. Самое главное — не допускать «неконтролируемого проникновения» посторонних в помещениеподп. «а» п. 13 Требований, утв. Постановлением № 1119. А «контролируемое» пребывание в бухгалтерии сотрудников организации в присутствии ответственного бухгалтера допускается.

Что еще нужно сделать?

В.В. Любезный: Для каждого сотрудника, работающего с персональными данными, надо завести отдельную учетную запись для входа в компьютер. Для того чтобы поработать, он должен ввести свое имя и пароль (причем этот пароль не должен быть виден на экране) либо приложить электронный ключ.

Компьютеры должны быть настроены так, чтобы после нескольких неправильных попыток ввода пароля учетная запись пользователя блокировалась. А если пользователь бездействует на протяжении нескольких минут, вход в систему закрывается. И чтобы начать работать, нужно вводить пароль снова.

Каждый пользователь должен иметь право совершать только те действия, которые определены его трудовыми обязанностями. Конечно, урезать права надо в разумных пределах, ведь может возникнуть ситуация, когда одному сотруднику приходится подменять другого.

Если кто-то из сотрудников работает удаленно, между его компьютером и сервером фирмы надо организовать зашифрованный канал связи.

Если с системой персональных данных работают только ответственные сотрудники и они не переписывают информацию на флешки и не выходят в Интернет, этого достаточно?

В.В. Любезный: Утечка персональных данных может произойти не только через Интернет. Надо обеспечить сохранность носителей персональных данных.

Внутренние носители (жесткие диски или SSD-носители) находятся внутри компьютеров, серверов, сетевых хранилищ. И меры их защиты те же самые, о которых я уже говорил: не допускать посторонних в помещение. Если при ремонте из компьютера извлекается носитель, он должен храниться в запирающемся шкафу, желательно в сейфе. Внешние носители (флешки, дискеты, карты памяти, сменные жесткие диски) тоже надо хранить под замком. Если вы носите флешку с собой, защитить ее от кражи полностью, к сожалению, невозможно. Но желательно выбрать такую модель флешки, данные на которой защищаются паролем или ПИН-кодом. Не зная их, записанный на такую флешку файл прочитать не удастся. Если техника отслужила свой срок, ее нельзя просто выбросить на помойку. Многие модели уничтожителей документов способны уничтожать не только бумагу, но и CD- и DVD-диски. Можно и просто разломать такой диск на части. Лучше делать это в пакете: при разламывании от диска могут отлететь мелкие кусочки и повредить глаза.

Жесткий диск лучше всего размагнитить. Но для этого требуется специальное оборудование. Если такого оборудования у вас нет, можно вскрыть гермоблок, извлечь металлические диски, на которых записана информация, зачистить их шкуркой с двух сторон и сдать на металлолом. У SSD-носителей и флешек можно вытащить электронные платы и измельчить микросхемы дремелем или другим режущим инструментом.

Надо ли для защиты персональных данных использовать антивирусные программы?

В.В. Любезный: Конечно. На компьютерах с информационной системой должен стоять современный антивирус, желательно с сетевым экраном. Сетевой экран — это специальная программа, анализирующая обмен данными между компьютером и сетью. Она позволяет блокировать трафик, определять и пресекать атаки на компьютер. Операционная система, антивирус, прикладные программы должны автоматически обновляться.

Wi-Fi, если в нем нет необходимости, надо отключить. Если он нужен, то доступ посторонним надо закрыть длинным, стойким к подбору паролем. То есть пароль должен быть бессмысленным или случайным набором букв, цифр и других символов, желательно не менее восьми.

События, связанные с информационной безопасностью (например, вход пользователя в систему, неудачная попытка входа в систему, попытка входа под заблокированной учетной записью и т. п.), должны записываться в специальный журнал. В Win­dows такой журнал ведется автоматически. Если была попытка кражи данных, просмотр журнала поможет разобраться в произошедшем, например понять, кто работал за компьютером в этот момент.

Может ли кто-то проверить, как соблюдаются все эти меры?

В.В. Любезный: Конечно, к вам могут прийти контролеры из Роскомнадзора и проверить, выполняете ли вы все процедуры определения актуальных для информационной системы угроз и необходимого уровня ее защищенности. И достаточно ли для защиты системы тех мер безопасности, которые вы применяете. Поэтому советую подготовить и хранить документы:

протокол определения и оценки актуальности угроз безопасности обрабатываемых системой персональных данных;
протокол определения типов актуальных угроз и необходимого уровня защищенности информационной системы персональных данных;
протоколы определения и адаптации базового набора мер по обеспечению безопасности;
приказ об утверждении и организации выполнения окончательного набора мер безопасности;
акты о выполнении работ по безопасности, приказ о назначении ответственного сотрудника или структурного подразделения.

Не реже чем раз в 3 года эффективность применяемых вами мер надо проверять и составлять об этом протокол. Также желательно утвердить регламент технического обслуживания и использования информационной системы. В нем надо прописать периодичность и состав мероприятий по контролю работоспособности системы, средства защиты информации, процедуры работы с носителями персональных данных (установка, учет, изъятие, отправка в ремонт или на утилизацию), порядок привлечения новых сотрудников к работе с персональными данными и действия при увольнении сотрудника. А самое главное — неотложные действия конкретных лиц в различных нештатных ситуациях.

Хотя формального требования иметь такой регламент нет, проверяющие его обычно требуют. Но он нужен и вам, чтобы ничего не забыть. Ведь при работе с такими сложными системами, как системы хранения и обработки персональных данных, нарушение порядка действий может привести к тому, что вся система выйдет из строя. Для сотрудников надо составить подробную инструкцию по безопасности при работе в информационной системе персональных данных, следует ознакомить их с ней под роспись. Ее тоже могут потребовать проверяющие.

Что надо дополнительно сделать, если у нас хранятся данные посторонних лиц: родственников сотрудников, партнеров, клиентов?

В.В. Любезный: Если у вас хранятся данные меньше чем 100 тысяч людей, не являющихся вашими сотрудниками, никаких дополнительных мер не нужно. И неважно, кто это — родственники сотрудников, партнеры или клиенты. Ваша система персональных данных останется на третьем уровне защищенности.

Если у вас хранятся данные больше чем 100 тысяч человек, уровень защищенности системы должен быть выше — второй или даже первый. Они требуют дополнительных мер безопасности. Например, надо организовать защиту от спама, обязательно создавать резервные копии баз данных. Есть и более сложные требования: контроль целостности программного обеспечения, обнаружение вторжений. Выполнить их, не привлекая специалистов по безопасности, трудно.

Другие статьи журнала «ГЛАВНАЯ КНИГА» на тему «Документооборот»:

2016 г.

  1. Документооборот, № 24
  2. Восстанавливаем утраченные документы, № 20
  3. Бухгалтерские документы: составляем, заполняем, подписываем, № 20
  4. В электронную подпись желательно включить отметку о времени, № 15
  5. ФНС может принимать электронные документы только утвержденных форматов, № 13
  6. Исправляем бухгалтерскую первичку, № 10
  7. Электронный документ — не просто созданный на компьютере, № 5
  8. Оформляем приказ о возложении обязанностей главбуха на директора, № 4
  9. Передаем учет аутсорсеру, № 3

2015 г.

  1. Кто ответит за электронную подпись?, № 21
  2. Электронные документы: нужна ли их распечатка?, № 18
  3. Как упрощенцу подтвердить оплату расходов наличными предпринимателю, № 18
  4. Нужна ли печать на судебной доверенности, № 15
  5. Выполнение работ по «давальческому» договору, № 15
  6. ООО решило сменить название: пошаговая инструкция, № 13
  7. Подписываем документ: что, где и как, № 11
  8. Отказ от круглой печати: стоит ли спешить?, № 10
  9. Хочу все знать: расчеты с подотчетными лицами, № 8
  10. Сокращаем документооборот на складе, № 8
  11. Рукописи не горят бесплатно... Учитываем расходы на уничтожение документов, № 8
  12. Счет не получен вовремя: будет ли просрочка оплаты, № 7

2014 г.

  1. Усы, лапы, хвост — вот мои документы!, № 22
  2. Собираем досье на контрагента, № 18
  3. Можно ли «подписать» первичку только по факсу?, № 18
  4. Мастер-класс юриста: договор оказания услуг, № 17
  5. Бухгалтерское прочтение договора поставки, № 10
  6. Мастер-класс: проверяем договор аренды помещения, № 7
  7. Обмен опытом: документооборот по давальческим материалам в строительстве, № 5
  8. Кто, кроме директора, может подписать акт об оказании услуг, № 4
  9. Первичка: как сохранить и... выбросить, № 2

2013 г.

  1. Гибридный счет-фактура: несекретная разработка ФНС, № 22
  2. Запрос в Минфин: азбука эффективного общения, № 22
  3. Заполняем без ошибок платежки на перечисление налогов и взносов, № 20
  4. Как защитить персональные данные работников и клиентов, № 19
  5. Как уничтожить первичку после истечения срока ее хранения, № 15
  6. Приемка и списание материалов: оформляем документы, № 12
  7. Электронный документооборот с контрагентами: с чего начать, № 10
  8. Печать фирмы: изготавливаем, используем, утилизируем, № 9
  9. Печать — постоянная спутница фирмы?, № 9
  10. Разрабатываем удобный регистр по НДФЛ, № 8
  11. Обнаружили недостачу: составляем претензию контрагенту, № 8
  12. Когда пригодятся скриншоты, № 6
  13. Идеальный акт об оказании услуг для налогового инспектора, № 6
  14. Документооборот: выстраиваем «под бухгалтерию», № 5
  15. Договор поставки: читаем по слогам, № 5
  16. Унифицированные формы первички необязательны, а что с БСО?, № 4
  17. Как не допустить атаку на «Клиент-Банк», № 3

2012 г.

  1. «Инвентаризационная» подборка, № 24
  2. Условия гражданско-правовых договоров и их налоговые последствия, № 24
  3. Положение об охране труда: ваш помощник в учете трат на комфорт, № 24
  4. Упрощенка: списываем в расходы проданные товары, № 24
  5. Первичка: унифицированная и не очень, № 23
  6. Выдаем справку о зарплате для расчета пособий в нестандартных ситуациях, № 22
  7. Подотчет и наличные расходы, № 21
  8. Какие подотчетные документы не вызовут претензий налоговиков, № 20
  9. Учимся писать записки: докладные, служебные, объяснительные, № 20
  10. Почему при поставке иногда недостаточно счета на оплату и нужен договор, № 19
  11. Может ли первичка с дефектом подтверждать расходы и вычеты НДС, № 19
  12. У кого остаются оригиналы документов при уступке долга: у старого или у нового кредитора, № 19
  13. Правильно оформляем первичку и не только, № 16
  14. Вся правда о доверенности, № 14
  15. Направляем претензию контрагенту, задержавшему поставку или оплату, № 14
  16. Документируем брак основного средства и его возврат поставщику, № 14
  17. «Просроченный» директор: как работать бухгалтеру?, № 13
  18. Нужны ли покупателю для налогового учета ТН и ТТН при договоре транспортной экспедиции, № 10
  19. Готовая инструкция для подотчетника, № 9
  20. Справки и документы с места работы: кому, когда, какие, № 2
  21. Как заверить копию документа «надлежащим» образом, № 1

2011 г.

  1. Список важных предновогодних дел, № 24
  2. Оформляем документы для защиты личных данных работников, № 24
  3. Учетная политика: проверь себя, № 23
  4. Моделируем учетную политику для мини-фирмы, № 23
  5. На что бухгалтеру обратить внимание в договоре купли-продажи, № 22
  6. Договор транспортной экспедиции: как избежать проблем с НДС, № 21
  7. Нюансы заполнения новой транспортной накладной, № 20
  8. Учитываем приобретенные ТМЦ под другим наименованием, № 19
  9. Путевой лист делаем «путёвым», № 19
  10. Доверенность, вернись!, № 17
  11. Как подписаться электронной подписью, № 17
  12. Когда нужен акт по форме № КМ-3, № 17
  13. Когда можно использовать дополнительные печати, № 16
  14. Ох уж этот подотчет..., № 11
  15. Когда, кому и зачем нужна ТТН, № 6
  16. Директор путает счет компании с собственным карманом, № 5
  17. Что можно, а что нельзя подписывать факсимиле, № 4
ИНДЕКСЫ
в России Индекс
потребительских цен

Используется
для индексации зарплаты

0.4%
декабрь 2016 г.
0
Минимальный
размер оплаты труда

Используется для
регулирования зарплаты

7 500

Примечание

История

ОПРОС
С каким кодом статуса в поле 101 платежки вы перечислили в январе страховые взносы?
14, как требуют налоговики
01, как требуют банки
08, как указано в Приказе Минфина № 107н

ЕЖЕДНЕВНАЯ
НОВОСТНАЯ
РАССЫЛКА
РАБОЧИЙ СТОЛ БУХГАЛТЕРА

«ГЛАВНАЯ КНИГА»
РЕКОМЕНДУЕТ
Подписка на ГК_2017Конференция Эк.иЖ 15 февраля
БЛИЖАЙШИЕ БУХГАЛТЕРСКИЕ МЕРОПРИЯТИЯ
24.01.2017 г.

Блиц-семинар: «Новые декларация по прибыли и НДС в 2017 году: как заполнить и отчитаться без ошибок», г.Москва, Международный центр делового развития «АЭФ-КОНСАЛТ»

25.01.2017 г.

Бизнес-практикум: «Годовой отчет за 2016 год: какие ключевые вопросы важно учесть при его подготовке»,г.Москва, Международный центр делового развития «АЭФ-КОНСАЛТ»

26.01.2017 г.

Бизнес-практикум: «УСН для профессионалов: что ждет «упрощенцев» в 2017 году», г.Москва, Международный центр делового развития «АЭФ-КОНСАЛТ»