Информационная безопасность и хранение персональных данных

На практике, множество организаций продолжают хранить в открытых файлах Excel и Word различную информацию и сведения, такие как:

• Персональные данные сотрудников и анкеты кандидатов. подробнее
• Персональные данные работников партнеров-контрагентов (поставщиков и покупателей). Данная информация поступает через обмен реквизитами, паспортными данными руководителей в процессе согласования договоров или работы с прочими документами.
• Договоры и первичные документы с финансовой информацией.
• Финансовые отчеты.
• Кадровые документы и отчеты.
• Документы и корреспонденцию с персональными данными.

Если сотрудники хранят перечисленную выше информацию в открытом виде, то важно, чтобы эти данные не попали в открытый доступ для злоумышленников.Чтобы минимизировать потери важной информации и исключить посторонний доступ к персональным данным, необходимо ответить на вопрос – как в организации обеспечивается информационная безопасность, хотя бы на минимальном базовом уровне.

Достаточно сравнить два способа хранения персональных данных сотрудников в организации, чтобы понять какой из вариантов наиболее рискованный для нарушения закона о персональных данных:

1. ФИО, контакты и прочие сведения по кандидатам и сотрудникам хранятся в открытом доступе на компьютере в виде файлов Excel, Word, PDF и прочие форматы.  В таком случае существует вероятность простой утечки персональных данных путем копирования этих файлов (например, взлом компьютера через вирус).
2. ФИО, контакты и прочие сведения по кандидатам и сотрудникам хранятся в отдельной кадровой программе, которая устанавливается на компьютер специалиста по кадрам. Вход в рабочую версию данной программы осуществляется только через логин и пароль (известный кадровику и руководителю). Т.е. достигается максимальная безопасность хранения персональных данных, так как сведения по сотрудникам хранятся в закрытой базе данных программы. Даже если будет взлом компьютера и перенос папки с программой на компьютер злоумышленника, то стороннее лицо не сможет получить доступ к закрытой базе данных сотрудников не зная логина и пароля к программе.  К специальной кадровой программе относится программа "Отдел Кадров Плюс" (скачать бесплатную версию).

Утечка информации(включая персональные данные) – серьезная проблема и реальная угроза для большинства предприятий, представляющих различные отрасли. Данные могут быть утеряны по причине злого умысла третьих лиц, по неосторожности сотрудников. При умышленной организации наносится серьезный ущерб. В условиях конкуренции такой прием используют многие сторонние организации, чтобы получить преимущество над конкурентами, пусть и таким незаконным способом.

Информационная безопасность или ИБ — это комплекс мер, предпринимаемых для защиты от утечки или взлома программ, компьютерных систем и данных. Средства информационной безопасности защищают данные от утечки, программы, системы и сети — от взлома, несанкционированного доступа, порчи файлов или других видов атак.  За утечку конфиденциальных данных пользователей предусмотрена ответственность по закону. Так что меры по безопасности — это еще и способ избежать проблем с законодательством и потери доверия клиентов.

Четыре базовых меры организации информационной безопасности:

1. Установка антивирусов на рабочие компьютеры.
2. Установка паролей для входа на рабочие компьютеры
3. Применение специального программного обеспечения для работы и хранения информации по сотрудникам, договорам, документам и клиентам. Например, можно не отказываться от работы с файлами Word и Excel, но хранить их не в открытом доступе во множестве папок, а хранить эти файлы внутри специальных программ. Доступ к данным программам осуществляется по логинам и паролям, которые известны руководителям и пользователям данной программы.
4. Если на данный момент в Вашей организации не существует регламентов и правил по информационной безопасности, но применяется отдельное программное обеспечение, в котором хранятся персональные данные сотрудников, то проверьте, каким образом программа хранит эти сведения в своей базе данных:
   1. Удаленно на сторонних серверах (например, облачные веб-сервисы).
   2. Или все данные хранятся в рамках Вашей инфраструктуры (локальная сеть, сервер, рабочие компьютеры). Данный вариант более предпочтителен. Контролировать собственные компьютеры, серверы и свою локальную сеть проще на базовом уровне информационной безопасности.

В зависимости от формата и способа хранения персональных данных различают правила:

1. Для бумажных документов с персональными данными: хранение в сейфах или металлических несгораемых шкафах. Для доступа к документам устанавливается определенный список сотрудников. Данные сотрудники должны подписать письменное обязательство о неразглашении персональных данных.
2. Для электронных документов (файлы Excel, Word, PDF и т.п.): необходимо запретить доступ к ним сторонних лиц. Для этого нужно решить вопросы информационной безопасности и резервного копирования баз данных сотрудников. Хранить электронные копии личных документов сотрудников в открытых файлах закон также не позволяет. Если Роскомнадзор при проверке обнаружит excel с ФИО и контактами (например кадровые отчеты), сканы, например, паспортов, дипломов и военных билетов, компанию оштрафуют так же, как если бы вы хранили эти копии на бумаге.

Подробнее об информационной безопасности

Как было сказано выше, информационная безопасность – это набор мер, осуществляемых для исключения несанкционированного доступа, использования или уничтожения информации, представленной в электронном или любом другом виде. Например, сохраняемой на бумажных носителях, передаваемой в ходе телефонных переговоров или по е-мейл переписке.

Объектом защиты информационной безопасности могут быть любые данные, от секретных разработок до важной переписки в смартфоне с упоминанием финансовой информации.

Прежде всего, нужно защищать критическую инфраструктуру, то, без чего невозможна деятельность организации, компании, государства. Это, конечно же, компьютеры, серверы, локальные сети средства телекоммуникации, через которые обычно и происходит утечка данных.

Информацию можно получить не только из телефона и компьютера, но и путем старой доброй «прослушки», поэтому серьезные организации разрабатывают комплексную систему обеспечения информационной безопасности, включающую в себя защиту зданий и сооружений, занимаемых организацией, от постороннего проникновения и «прослушки».

Существуют следующие категории объектов защиты:

• Информация (цифровые и аналоговые сигналы, электронные данные).
• Ресурсные объекты (системы программно-аппаратного обеспечения).
• Физические объекты (постройки, оборудование, территории, коммуникации, прочее).
• Пользовательские объекты, субъекты и владельцы информации.

Основные виды конфиденциальной информации

Персональные данные. Сведения о физическом лице: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. 152-ФЗ — закон, который обязывает охранять эту информацию. Сотрудник, работающий с персональными данными, несет ответственность за их защиту и не должен передавать данные третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна.  Это внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.Организация сама решает, что отнести к коммерческой тайне, а что можно публиковать в отрытом виде. При этом не вся сведения могут быть коммерческой тайной — например, нельзя закрыть доступ к ФИО учредителей юридического лица, условия труда или факты нарушения законов. Вопросы коммерческой тайне регулирует закон 98-ФЗ.

Профессиональная тайна. К данной информации относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. Профессиональную тайну регулируют несколько специальных законов.

Служебная тайна. Сведения, которые известны специальным службам и ведомствам, например, налоговой или ЗАГС. Такие данные обычно хранят государственные органы, они отвечают за их безопасность и предоставляют только по официальному запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Если ваша компания хранит персональные данные, коммерческую или профессиональную тайну, то эти данные нужно защищать особым образом. Для этого необходимо ограничить доступ к ней посторонним лицам — установить уровни доступа и пароли, а также применять специальное программное обеспечение, особенно это актуально для кадрового учета.

Персональные данные и кадровый учет

При работе с сотрудником формируются различные кадровые документы, от приема до увольнения. Без согласия работника можно хранить: заявление о приеме на работу, приказ о приеме на работу, должностную инструкцию, согласие на обработку персональных данных, трудовой договор, договор о материальной ответственности (если сотрудник будет материально ответственным лицом).

После увольнения сотрудника, без его согласия, также можно хранить заявление об увольнении, приказ и документы, закрывающие материальную ответственность работника.

Подведем итог.

Необходимо понимать, что когда дело касается безопасности электронных (цифровых) данных (к которым относятся также файлы Word и Excel), то в данном случае к техническим средствам реализации относятся компьютеры, сервер и программное обеспечение.
Максимальная информационная безопасность организации подразумевает хранение данных на собственном или арендованном и защищенном от постороннего проникновения сервере или компьютере сотрудника отдела кадров, использование для обмена данными защищенного соединения и все, о чем мы говорили выше.