На практике, множество организаций продолжают хранить в открытых файлах Excel и Word различную информацию и сведения, такие как:
- Персональные данные сотрудников и анкеты кандидатов. подробнее
- Персональные данные работников партнеров-контрагентов (поставщиков и покупателей). Данная информация поступает через обмен реквизитами, паспортными данными руководителей в процессе согласования договоров или работы с прочими документами.
- Договоры и первичные документы с финансовой информацией.
- Финансовые отчеты.
- Кадровые документы и отчеты.
- Документы и корреспонденцию с персональными данными.
Если сотрудники хранят перечисленную выше информацию в открытом виде, то важно, чтобы эти данные не попали в открытый доступ для злоумышленников.Чтобы минимизировать потери важной информации и исключить посторонний доступ к персональным данным, необходимо ответить на вопрос – как в организации обеспечивается информационная безопасность, хотя бы на минимальном базовом уровне.
Достаточно сравнить два способа хранения персональных данных сотрудников в организации, чтобы понять какой из вариантов наиболее рискованный для нарушения закона о персональных данных:
- ФИО, контакты и прочие сведения по кандидатам и сотрудникам хранятся в открытом доступе на компьютере в виде файлов Excel, Word, PDF и прочие форматы. В таком случае существует вероятность простой утечки персональных данных путем копирования этих файлов (например, взлом компьютера через вирус).
- ФИО, контакты и прочие сведения по кандидатам и сотрудникам хранятся в отдельной кадровой программе, которая устанавливается на компьютер специалиста по кадрам. Вход в рабочую версию данной программы осуществляется только через логин и пароль (известный кадровику и руководителю). Т.е. достигается максимальная безопасность хранения персональных данных, так как сведения по сотрудникам хранятся в закрытой базе данных программы. Даже если будет взлом компьютера и перенос папки с программой на компьютер злоумышленника, то стороннее лицо не сможет получить доступ к закрытой базе данных сотрудников не зная логина и пароля к программе. К специальной кадровой программе относится программа "Отдел Кадров Плюс" (скачать бесплатную версию).
Утечка информации(включая персональные данные) – серьезная проблема и реальная угроза для большинства предприятий, представляющих различные отрасли. Данные могут быть утеряны по причине злого умысла третьих лиц, по неосторожности сотрудников. При умышленной организации наносится серьезный ущерб. В условиях конкуренции такой прием используют многие сторонние организации, чтобы получить преимущество над конкурентами, пусть и таким незаконным способом.
Информационная безопасность или ИБ — это комплекс мер, предпринимаемых для защиты от утечки или взлома программ, компьютерных систем и данных. Средства информационной безопасности защищают данные от утечки, программы, системы и сети — от взлома, несанкционированного доступа, порчи файлов или других видов атак. За утечку конфиденциальных данных пользователей предусмотрена ответственность по закону. Так что меры по безопасности — это еще и способ избежать проблем с законодательством и потери доверия клиентов.
Четыре базовых меры организации информационной безопасности:
- Установка антивирусов на рабочие компьютеры.
- Установка паролей для входа на рабочие компьютеры
- Применение специального программного обеспечения для работы и хранения информации по сотрудникам, договорам, документам и клиентам. Например, можно не отказываться от работы с файлами Word и Excel, но хранить их не в открытом доступе во множестве папок, а хранить эти файлы внутри специальных программ. Доступ к данным программам осуществляется по логинам и паролям, которые известны руководителям и пользователям данной программы.
- Если на данный момент в Вашей организации не существует регламентов и правил по информационной безопасности, но применяется отдельное программное обеспечение, в котором хранятся персональные данные сотрудников, то проверьте, каким образом программа хранит эти сведения в своей базе данных:
- Удаленно на сторонних серверах (например, облачные веб-сервисы).
- Или все данные хранятся в рамках Вашей инфраструктуры (локальная сеть, сервер, рабочие компьютеры). Данный вариант более предпочтителен. Контролировать собственные компьютеры, серверы и свою локальную сеть проще на базовом уровне информационной безопасности.
В зависимости от формата и способа хранения персональных данных различают правила:
- Для бумажных документов с персональными данными: хранение в сейфах или металлических несгораемых шкафах. Для доступа к документам устанавливается определенный список сотрудников. Данные сотрудники должны подписать письменное обязательство о неразглашении персональных данных.
- Для электронных документов (файлы Excel, Word, PDF и т.п.): необходимо запретить доступ к ним сторонних лиц. Для этого нужно решить вопросы информационной безопасности и резервного копирования баз данных сотрудников. Хранить электронные копии личных документов сотрудников в открытых файлах закон также не позволяет. Если Роскомнадзор при проверке обнаружит excel с ФИО и контактами (например кадровые отчеты), сканы, например, паспортов, дипломов и военных билетов, компанию оштрафуют так же, как если бы вы хранили эти копии на бумаге.
Подробнее об информационной безопасности
Как было сказано выше, информационная безопасность – это набор мер, осуществляемых для исключения несанкционированного доступа, использования или уничтожения информации, представленной в электронном или любом другом виде. Например, сохраняемой на бумажных носителях, передаваемой в ходе телефонных переговоров или по е-мейл переписке.
Объектом защиты информационной безопасности могут быть любые данные, от секретных разработок до важной переписки в смартфоне с упоминанием финансовой информации.
Прежде всего, нужно защищать критическую инфраструктуру, то, без чего невозможна деятельность организации, компании, государства. Это, конечно же, компьютеры, серверы, локальные сети средства телекоммуникации, через которые обычно и происходит утечка данных.
Информацию можно получить не только из телефона и компьютера, но и путем старой доброй «прослушки», поэтому серьезные организации разрабатывают комплексную систему обеспечения информационной безопасности, включающую в себя защиту зданий и сооружений, занимаемых организацией, от постороннего проникновения и «прослушки».
Существуют следующие категории объектов защиты:
- Информация (цифровые и аналоговые сигналы, электронные данные).
- Ресурсные объекты (системы программно-аппаратного обеспечения).
- Физические объекты (постройки, оборудование, территории, коммуникации, прочее).
- Пользовательские объекты, субъекты и владельцы информации.
Основные виды конфиденциальной информации
Персональные данные. Сведения о физическом лице: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. 152-ФЗ — закон, который обязывает охранять эту информацию. Сотрудник, работающий с персональными данными, несет ответственность за их защиту и не должен передавать данные третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.
Коммерческая тайна. Это внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.Организация сама решает, что отнести к коммерческой тайне, а что можно публиковать в отрытом виде. При этом не вся сведения могут быть коммерческой тайной — например, нельзя закрыть доступ к ФИО учредителей юридического лица, условия труда или факты нарушения законов. Вопросы коммерческой тайне регулирует закон 98-ФЗ.
Профессиональная тайна. К данной информации относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. Профессиональную тайну регулируют несколько специальных законов.
Служебная тайна. Сведения, которые известны специальным службам и ведомствам, например, налоговой или ЗАГС. Такие данные обычно хранят государственные органы, они отвечают за их безопасность и предоставляют только по официальному запросу.
Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.
Если ваша компания хранит персональные данные, коммерческую или профессиональную тайну, то эти данные нужно защищать особым образом. Для этого необходимо ограничить доступ к ней посторонним лицам — установить уровни доступа и пароли, а также применять специальное программное обеспечение, особенно это актуально для кадрового учета.
Персональные данные и кадровый учет
При работе с сотрудником формируются различные кадровые документы, от приема до увольнения. Без согласия работника можно хранить: заявление о приеме на работу, приказ о приеме на работу, должностную инструкцию, согласие на обработку персональных данных, трудовой договор, договор о материальной ответственности (если сотрудник будет материально ответственным лицом).
К личному делу работника, без его согласия, можно прикреплять: дополнительные соглашения, приказы, которые имеют отношение к трудовой деятельности, например, о премировании, копии документов, которые отражают квалификацию и профессиональные качества работника, например, диплома о переподготовке или получении дополнительной специальности, рекомендательные письма.
После увольнения сотрудника, без его согласия, также можно хранить заявление об увольнении, приказ и документы, закрывающие материальную ответственность работника.
Для хранения аттестационных листов, копий медосмотров потребуется получение согласия сотрудника. Это нужно закрепить в согласии на обработку персональных данных. Копии документы об образовании, справки об отсутствии или наличии судимости тоже требуют согласия работника.
Трудовая инспекция может оштрафовать организацию или должностное лицо, если посчитает, что сведения в личных делах являются избыточными. Это происходит, когда документы не относятся к служебной деятельности сотрудника, но хранятся в личном деле.
Роструд считает, что копии документов с главными персональными данными нельзя хранить в личном деле. Например, при приеме сотрудника на работу кадровик должен ознакомиться с копиями, внести сведения в реквизиты и вернуть копии владельцу.
Из личных дел нужно убрать:
копии паспорта, СНИЛС, свидетельство о выдаче ИНН, копии свидетельств о заключении или расторжении брака, свидетельства о рождении ребенка, копии военного билета.
Подведем итог.
Необходимо понимать, что когда дело касается безопасности электронных (цифровых) данных (к которым относятся также файлы Word и Excel), то в данном случае к техническим средствам реализации относятся компьютеры, сервер и программное обеспечение. Максимальная информационная безопасность организации подразумевает хранение данных на собственном или арендованном и защищенном от постороннего проникновения сервере или компьютере сотрудника отдела кадров, использование для обмена данными защищенного соединения и все, о чем мы говорили выше.
|