Новости Тренинги Типовые ситуации Калькуляторы Формы
Журнал Вебинары Календарь Консультации Форум Тесты
Добавить в «Нужное»

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 20 сентября 2013 г.

Содержание журнала № 19 за 2013 г.
Беседовала корреспондент ГК А.В. Хорошавкина

Как защитить персональные данные работников и клиентов

ЛЮБЕЗНЫЙ Виктор Владимирович
ЛЮБЕЗНЫЙ Виктор Владимирович
Ведущий разработчик программных продуктов компании «Бухсофт.ру»

Защита персональных данных сотрудников организации и постоянных клиентов — активно обсуждаемая в последние годы тема. Ведь личная информация должна храниться так, чтобы никто посторонний не мог получить к ней доступЗакон от 27.07.2006 № 152-ФЗ.

Как уберечь персональные данные от случайной или тем более преднамеренной утечки, рассказывает наш собеседник.

Виктор Владимирович, небольшие организации не всегда могут для защиты персональных данных нанять отдельного специалиста. Что же делать?

В.В. Любезный: Если вы ограничены в средствах, защищайте персональные данные своими силами. Главное — выполнять требования Закона № 152-ФЗ и подзаконных актов, где подробно прописаны конкретные меры по защите персональных данныхПостановление Правительства от 01.11.2012 № 1119 (далее — Постановление № 1119); Приказ ФСТЭК от 18.02.2013 № 21. Желательно пригласить консультанта, который проанализирует ваш бизнес с точки зрения возможных проблем и даст рекомендации.

Что именно надо предпринять для защиты персональных данных?

В.В. Любезный: Защите подлежат не просто персональные данные, а вся информационная система, то есть программы, с помощью которых они обрабатываются, и компьютеры, на которых они хранятсяст. 2 Закона от 27.07.2006 № 149-ФЗ. Если весь учет персональных данных ведется в бухгалтерии на единственном компьютере, то защищать надо бухгалтерскую программу, базу данных бухгалтерской программы, пакет офисных программ, операционную систему, компьютер, монитор и подключенный к компьютеру принтер. Если компьютер соединен с локальной сетью, надо защищать и сетевое оборудование, кабели, сервер.

От характера и объема (до 100 тысяч лиц или свыше) персональных данных зависит, как именно их надо защищать. Имеет значение и то, обрабатываются персональные данные только сотрудников организации или кого-то еще, например клиентов. Если в системе хранятся данные о состоянии здоровья людей, их политических взглядах, физиологических и биологических особенностяхстатьи 10, 11 Закона от 27.07.2006 № 152-ФЗ, требования к уровню защищенности информационной системы повышаются.

Необходимый уровень защищенности информационной системы — всего их четыре — зависит еще и от актуальных угроз. Чем больше у информационной системы актуальных угроз, тем строже требования к защищенностиПостановление № 1119.

Что это такое — актуальные угрозы?

В.В. Любезный: Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза — это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например офисных, бухгалтерских, почтовых.

Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.

Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.

Какие еще бывают угрозы?

В.В. Любезный: Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.

Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.

А какой уровень защищенности информационной системы должен быть у обычной организации, которая никаких персональных данных посторонних лиц не обрабатывает и не хранит?

В.В. Любезный: Если компьютеры с персональными данными сотрудников имеют выход в Интернет, то актуальны угрозы второго типа. И информационные системы в большинстве своем должны иметь третий уровень защищенности.

Какими конкретно мерами надо обеспечить этот третий уровень защищенности?

В.В. Любезный: Эти меры перечислены в Постановлении Правительства № 1119 и Приказе ФСТЭК № 21. Там же установлен порядок их использования для конкретных информационных систем. Если вы не можете реализовать какую-то из этих мер или это для вас слишком дорого, Приказ разрешает заменить ее другой, компенсирующей мерой.

Для начала надо назначить приказом работника, ответственного за обеспечение безопасности персональных данных в информационной системе.

Также приказом надо утвердить перечень сотрудников, которые имеют право доступа к персональным данным. Другие люди в помещение, где размещена система персональных данных, допускаться не должны. На дверях необходимы замки. Ключи должны быть только у сотрудников с правом доступа к информационной системе, а запасной ключ нужно хранить в сейфе руководителя организации. Когда сотрудники выходят из помещения, они должны выключать приборы и обязательно запирать двери и окна. Это надо прописать в правилах внутреннего распорядка.

Необходимо полностью исключить возможность того, чтобы персональные данные мог увидеть и тем более скачать кто-то кроме ответственных лиц. Поэтому рабочие места в помещении, где стоит система, надо разместить так, чтобы из окна или двери нельзя было подсмотреть информацию на мониторах сотрудников и в документах, с которыми они работают.

Но как сделать это на практике? Например, персональные данные всех сотрудников организации хранятся в бухгалтерии. Неужели надо запретить сотрудникам других отделов заходить туда?

В.В. Любезный: Нет, совсем запрещать не надо. Самое главное — не допускать «неконтролируемого проникновения» посторонних в помещениеподп. «а» п. 13 Требований, утв. Постановлением № 1119. А «контролируемое» пребывание в бухгалтерии сотрудников организации в присутствии ответственного бухгалтера допускается.

Что еще нужно сделать?

В.В. Любезный: Для каждого сотрудника, работающего с персональными данными, надо завести отдельную учетную запись для входа в компьютер. Для того чтобы поработать, он должен ввести свое имя и пароль (причем этот пароль не должен быть виден на экране) либо приложить электронный ключ.

Компьютеры должны быть настроены так, чтобы после нескольких неправильных попыток ввода пароля учетная запись пользователя блокировалась. А если пользователь бездействует на протяжении нескольких минут, вход в систему закрывается. И чтобы начать работать, нужно вводить пароль снова.

Каждый пользователь должен иметь право совершать только те действия, которые определены его трудовыми обязанностями. Конечно, урезать права надо в разумных пределах, ведь может возникнуть ситуация, когда одному сотруднику приходится подменять другого.

Если кто-то из сотрудников работает удаленно, между его компьютером и сервером фирмы надо организовать зашифрованный канал связи.

Если с системой персональных данных работают только ответственные сотрудники и они не переписывают информацию на флешки и не выходят в Интернет, этого достаточно?

В.В. Любезный: Утечка персональных данных может произойти не только через Интернет. Надо обеспечить сохранность носителей персональных данных.

Внутренние носители (жесткие диски или SSD-носители) находятся внутри компьютеров, серверов, сетевых хранилищ. И меры их защиты те же самые, о которых я уже говорил: не допускать посторонних в помещение. Если при ремонте из компьютера извлекается носитель, он должен храниться в запирающемся шкафу, желательно в сейфе. Внешние носители (флешки, дискеты, карты памяти, сменные жесткие диски) тоже надо хранить под замком. Если вы носите флешку с собой, защитить ее от кражи полностью, к сожалению, невозможно. Но желательно выбрать такую модель флешки, данные на которой защищаются паролем или ПИН-кодом. Не зная их, записанный на такую флешку файл прочитать не удастся. Если техника отслужила свой срок, ее нельзя просто выбросить на помойку. Многие модели уничтожителей документов способны уничтожать не только бумагу, но и CD- и DVD-диски. Можно и просто разломать такой диск на части. Лучше делать это в пакете: при разламывании от диска могут отлететь мелкие кусочки и повредить глаза.

Жесткий диск лучше всего размагнитить. Но для этого требуется специальное оборудование. Если такого оборудования у вас нет, можно вскрыть гермоблок, извлечь металлические диски, на которых записана информация, зачистить их шкуркой с двух сторон и сдать на металлолом. У SSD-носителей и флешек можно вытащить электронные платы и измельчить микросхемы дремелем или другим режущим инструментом.

Надо ли для защиты персональных данных использовать антивирусные программы?

В.В. Любезный: Конечно. На компьютерах с информационной системой должен стоять современный антивирус, желательно с сетевым экраном. Сетевой экран — это специальная программа, анализирующая обмен данными между компьютером и сетью. Она позволяет блокировать трафик, определять и пресекать атаки на компьютер. Операционная система, антивирус, прикладные программы должны автоматически обновляться.

Wi-Fi, если в нем нет необходимости, надо отключить. Если он нужен, то доступ посторонним надо закрыть длинным, стойким к подбору паролем. То есть пароль должен быть бессмысленным или случайным набором букв, цифр и других символов, желательно не менее восьми.

События, связанные с информационной безопасностью (например, вход пользователя в систему, неудачная попытка входа в систему, попытка входа под заблокированной учетной записью и т. п.), должны записываться в специальный журнал. В Win­dows такой журнал ведется автоматически. Если была попытка кражи данных, просмотр журнала поможет разобраться в произошедшем, например понять, кто работал за компьютером в этот момент.

Может ли кто-то проверить, как соблюдаются все эти меры?

В.В. Любезный: Конечно, к вам могут прийти контролеры из Роскомнадзора и проверить, выполняете ли вы все процедуры определения актуальных для информационной системы угроз и необходимого уровня ее защищенности. И достаточно ли для защиты системы тех мер безопасности, которые вы применяете. Поэтому советую подготовить и хранить документы:

протокол определения и оценки актуальности угроз безопасности обрабатываемых системой персональных данных;
протокол определения типов актуальных угроз и необходимого уровня защищенности информационной системы персональных данных;
протоколы определения и адаптации базового набора мер по обеспечению безопасности;
приказ об утверждении и организации выполнения окончательного набора мер безопасности;
акты о выполнении работ по безопасности, приказ о назначении ответственного сотрудника или структурного подразделения.

Не реже чем раз в 3 года эффективность применяемых вами мер надо проверять и составлять об этом протокол. Также желательно утвердить регламент технического обслуживания и использования информационной системы. В нем надо прописать периодичность и состав мероприятий по контролю работоспособности системы, средства защиты информации, процедуры работы с носителями персональных данных (установка, учет, изъятие, отправка в ремонт или на утилизацию), порядок привлечения новых сотрудников к работе с персональными данными и действия при увольнении сотрудника. А самое главное — неотложные действия конкретных лиц в различных нештатных ситуациях.

Хотя формального требования иметь такой регламент нет, проверяющие его обычно требуют. Но он нужен и вам, чтобы ничего не забыть. Ведь при работе с такими сложными системами, как системы хранения и обработки персональных данных, нарушение порядка действий может привести к тому, что вся система выйдет из строя. Для сотрудников надо составить подробную инструкцию по безопасности при работе в информационной системе персональных данных, следует ознакомить их с ней под роспись. Ее тоже могут потребовать проверяющие.

Что надо дополнительно сделать, если у нас хранятся данные посторонних лиц: родственников сотрудников, партнеров, клиентов?

В.В. Любезный: Если у вас хранятся данные меньше чем 100 тысяч людей, не являющихся вашими сотрудниками, никаких дополнительных мер не нужно. И неважно, кто это — родственники сотрудников, партнеры или клиенты. Ваша система персональных данных останется на третьем уровне защищенности.

Если у вас хранятся данные больше чем 100 тысяч человек, уровень защищенности системы должен быть выше — второй или даже первый. Они требуют дополнительных мер безопасности. Например, надо организовать защиту от спама, обязательно создавать резервные копии баз данных. Есть и более сложные требования: контроль целостности программного обеспечения, обнаружение вторжений. Выполнить их, не привлекая специалистов по безопасности, трудно.

Понравилась ли вам статья?
  • Почему оценка снижена?
  • Есть ошибки
    Укажите ошибки Не более 300 знаков. Осталось 300/300
  • Слишком теоретическая статья, в работе бесполезна
  • Нет ответа по поставленные вопросы
  • Аргументы неубедительны
  • Ничего нового не нашел
  • Нужно больше примеров
  • Тема не актуальна
  • Статья появилась слишком поздно
  • Слишком много слов
  • Другое
    Напишите подробнее Не более 300 знаков. Осталось 300/300
Поставить оценку
Комментарии (0)

Оценивать статьи могут только подписчики журнала «Главная книга» или по демодоступу.

Другие статьи журнала по теме:
Документооборот / Первичные документы / ЭДО
Документооборот / Первичные документы / ЭДО

2024 г.

2023 г.

№ 24
Документальное подтверждение расходов: подводные камни оформления
№ 23
Как учесть расходы на получение УКЭП сотрудника
№ 22
Как хранить документы на бумаге и в электронном виде по новым правилам
№ 20
Что изменилось в правилах заполнения путевого листа
№ 17
В Закон об электронной подписи внесены изменения
№ 16
Про УКЭП и МЧД: 8 ответов на 8 вопросов наших читателейЧему уделить внимание при организации ЭДО
№ 13
Покупки у физлиц: особенности учета, оформления и оплаты
№ 10
Ответы на документальные вопросы по экспортно-импортным операциям
№ 8
Как заполнять транспортную накладную, если груз отправляет экспедитор
№ 7
Оформляем, подписываем и храним электронные документы
№ 4
Требования к оформлению путевого листа в 2023 годуФормирование акта об оказании услуг: внимание на «опасные» реквизиты
№ 2
Околоновогодние вопросы: сверка с контрагентами, декабрьские акты и авансы...
№ 1
Где, когда и как получить новую УКЭП

2022 г.

№ 23
Главбухам-аутсорсерам для подписи электронной отчетности клиентов нужна лицензия ФСБ
№ 21
Какой первичкой подтвердить расходы: Минфин снова уточняет
№ 17
Как удаленно подписывать документы организации электронной подписьюОбещание, данное в мессенджере, можно зафиксировать у нотариуса
№ 14
Как еще экономят на бумаге при оформлении документовМожет ли у директора быть две подписи?Можно ли печатать первичку и другие документы на черновиках
№ 12
Расходная первичка поступила с опозданием — как отразить в учете операцию
№ 9
Оформляем объединение отдельных объектов ОС в один
№ 8
Новая форма транспортной накладной, ее электронная версия и не только
№ 7
Можно ли скопировать ключ ЭП организации с токена?
№ 6
Все ли организации могут учесть расходы на приобретение УКЭП?Какая доверенность потребуется при электронном взаимодействии с ФНС
№ 3
Как вернуть и отразить в учете переплату контрагентуСколько электронных подписей можно записать на одном токене
№ 2
Как подписать электронный документ представителю юрлица или предпринимателя в 2022 годуТранспортные накладные переводят в электронный вид
№ 1
Нотариальные документы можно проверить онлайн
Cвежий номер «Главной книги»
  • «ПРИБЫЛЬНЫЕ» ИТОГИ — 2023: учет затрат и заполнение отчетности
  • ЕФС-1 О СТАЖЕ УХОДЯЩИХ В ДЕКРЕТ И ДЕТСКИЙ ОТПУСК: свежие разъяснения СФР
  • АРЕНДА АВТО БЕЗ ЭКИПАЖА: можно ли учесть допрасходы
  • ОТВЕТЫ ПО РЕЗЕРВАМ: обратная связь с читателями
Читать
ПОЛЕЗНОЕ
АКТУАЛЬНОЕ

КАЛЕНДАРЬ БУХГАЛТЕРА НА РАБОЧИЙ СТОЛ
«ГЛАВНАЯ КНИГА»
РЕКОМЕНДУЕТ
Вебинар 27 марта НА ПРАВАХ РЕКЛАМЫ
Нужное
Содержание