Как хранить конфиденциальные данные: 7 советов малому бизнесу
Потеря или утечка конфиденциальной информации может стать для бизнеса серьезной проблемой. Рассказываем, как этого избежать.
Бизнеса, у которого нет конфиденциальных данных, просто не существует. Даже если это маленькая компания, занимающаяся розничной торговлей, у нее как минимум есть документы с информацией о сотрудниках — а это персональные данные, утечка которых может стать причиной для претензий со стороны регуляторов. Есть банковские бумаги, которые проблематично восстанавливать в случае утраты. Есть договоры с поставщиками и подрядчиками, которые могут составлять коммерческую тайну.
Чтобы не потерять важные данные — или же чтобы они не достались посторонним, — мы рекомендуем следовать следующим советам.
1. Включите полнодисковое шифрование на всех устройствах
На устройствах, где хранятся конфиденциальные данные или через которые они передаются (то есть, по большому счету, на всех), стоит включить полнодисковое шифрование данных (FDE, Full Disk Encryption). Это обезопасит данные, если устройство попадет в чужие руки. На большинстве телефонов обеих основных платформ (iOS и Android) такое шифрование включено по умолчанию, и отключать его без острой необходимости не стоит. В системе Windows инструмент полнодискового шифрования называется BitLocker. Аналог в macOS — FileVault.
2. Не выносите конфиденциальные данные из офиса
Еще один способ, как важные данные могут попасть не в те руки — потеря или кража физических носителей: внешних жестких дисков или флешек. Оптимальный вариант — вообще не выносить их из офиса. При крайней необходимости, прежде чем записывать данные на флешку или внешний жесткий диск, зашифруйте их. Например, многие защитные решения для малого бизнеса поддерживают создание криптоконтейнеров — зашифрованных хранилищ для файлов.
3. Не передавайте незашифрованные данные через Интернет
Иногда может возникнуть необходимость переслать конфиденциальные данные через Интернет — по электронной почте или через файлохранилище. В этом случае информация потенциально может быть перехвачена, поэтому лучше всего передаваемые файлы зашифровать. Самый простой способ сделать это — заархивировать их с паролем. Такую функцию поддерживают практически все программы-архиваторы. Причем пароль следует пересылать адресату не по тому каналу, через который вы передаете сами файлы (скажем, информацию вы отправляете вложением в письме, а пароль к ней — через мессенджер, поддерживающий сквозное шифрование).
4. Удаляйте конфиденциальные данные, которые вам больше не понадобятся
Лишняя информация вряд ли когда-либо вам пригодится, а вот проблемы в случае утечки доставить может. Поэтому разумно не хранить конфиденциальные данные, которые вам больше не нужны. Удалять такие данные лучше всего при помощи специальной программы — файлового шреддера. В противном случае удаленные файлы можно восстановить. Ну или как минимум убедитесь, что вы не просто положили их в корзину, где они благополучно продолжают лежать.
5. Шифруйте бэкапы
Резервные копии делать очень важно, но они также могут послужить источником утечки. Поэтому перед созданием резервных копий конфиденциальных данных имеет смысл также поместить их в криптоконтейнер.
6. Не храните важные данные в единственном экземпляре
Если вы не хотите лишиться какой-то информации, следует хранить ее в нескольких изолированных друг от друга местах. Например, одну копию на компьютере, а вторую на внешнем жестком диске или в надежном облачном хранилище. Опять же — не забывая предварительно ее зашифровать и вообще учитывать все советы, которые мы дали выше.
7. Надежно храните пароли от архивов и криптоконтейнеров
Если вы внезапно потеряете пароль от архива с важными для бизнеса данными, то, в сущности, вы потеряете и сами данные — восстановить их будет невозможно. Поэтому разумно хранить пароли в специально созданном для этого приложении.
В состав нашего решения для защиты малого и среднего бизнеса входит, среди прочего, приложение для создания сложных паролей и надежного их хранения. В нем же есть инструмент для создания криптоконтейнеров и средство для автоматизации создания резервных копий данных. Ну и, разумеется, оно же защищает ваши компьютеры и мобильные телефоны от зловредов, которые, помимо всего прочего, могут охотиться за секретами вашей фирмы.
Защита персональных данных в облаке: что нужно знать по 152-ФЗ
По российскому законодательству компании обязаны обеспечить безопасность персональных данных сотрудников и клиентов: хранить и обрабатывать их так, чтобы они не попали в руки злоумышленников или общий доступ. При этом не запрещено доверять хранение и обработку таких данных третьей стороне — облаку. Расскажем, как в этом случае соблюсти требования закона.
Операторы персональных данных и типы данных
В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.
По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.
Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.
По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:
Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.
Требования к оператору персональных данных
Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:
Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.
Обеспечить защиту персональных данных
При хранении и обработке данных нужно обеспечить им уровень защищенности в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.
Необходимый уровень защищенности зависит от четырех факторов:
Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.
В законе они классифицируются так:
Универсального способа определить тип угроз, актуальных для вашей системы, нет. Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными. А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.
Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.
Всего существует 4 уровня защищенности (доверия):
Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.
Всего в приложении к приказу 109 мер, для каждого УЗ отмечены обязательные меры. Например, при 1 уровне защищенности нужно выполнить 69 требований.
Чтобы было проще понять, какой уровень защищенности нужен вашим данным, мы составили таблицу на основе Постановления Правительства РФ N 1119:
Хранение персональных данных
Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.
Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).
Важные нюансы, связанные с порядком хранения персональных данных
Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:
При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.
Какой должна быть система хранения персональных данных
Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:
Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.
Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.
Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
Обработка и хранение персональных данных: составление внутренних правил
Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:
После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:
Хранение персональных данных в организации
Для тех, кто намерен заняться бизнесом или организовать работу некоммерческой организации, в том числе заниматься продажей товаров через Интернет, важно продумать, каким образом будет обеспечено правильное хранение и использование персональных данных работников и клиентов. Существуют требования, четко прописанные в ФЗ-152 и других нормативно-правовых актах, но многое остается на усмотрение руководителя компании или предпринимателя. Во втором случае законом прописана необходимость достижения определенного результата, например, предупреждения несанкционированного доступа к физическим и электронным носителям, но как этого достигнуть, придется решать самостоятельно.
Определить порядок хранения персональных данных в организации на начальном этапе функционировании организации требуется по нескольким причинам:
Какие сведения в организации относятся к ПДн?
Определение понятия «персональные данные» изложено в ФЗ-152 от 27 июня 2006, согласно которому это любые сведения, напрямую или косвенно касающиеся гражданина. Более конкретным является определение, предоставляемое Роскомнадзором, в соответствии с которым к ПДн относится информация, позволяющая произвести идентификацию личности без дополнительных уточнений: Ф.И.О., мобильный номер, серия и номер паспорта, биометрика, СНИЛС, пароли к аккаунтам, ИНН и т.д. Отдельно прописываются операции, которые можно с ней осуществлять. Сведения можно собирать, синхронизировать, обновлять, копировать, передавать, извлекать, удалять, обезличивать, блокировать, использовать и уничтожать.
Все фирмы и учреждения, которые нанимают подрядчиков, формируют штат сотрудников или предлагают клиентам заключить договор на предоставление услуг, а также владельцы сайтов с формами обратной связи являются операторами ПДн. Каждому из них предстоит разобраться, где и как правильно должны храниться персональные данные сотрудников, клиентов и партнеров. С целью минимизации или исключения ошибочных действий, следует сориентироваться в законодательных требованиях, подобрать оптимальный вариант сохранения сведений (на бумажных либо на электронных носителях), определиться с количеством сотрудников в штате и направлением деятельности, а затем приступать к непосредственным действиям по обеспечению защиты конфиденциальной информации. Будьте готовы к тому, что на разработку как технических мер информационной безопасности ПДн, так и приведение бизнес-процессов компании в соответствие с положениями ФЗ-152 придется выделить дополнительные финансовые ресурсы и время.
Хранение персональных данных работников
Работодатель несет ответственность за информацию, которую получает от нанимаемого персонала, причем это касается всех категорий сведений, начиная от семейного положения и образования, заканчивая адресом проживания и прошлыми местами трудоустройства. В список документов, содержащих ПДн, за которые отвечает руководство компании, входят:
Для принятия на работу будущий сотрудник должен предоставить документы в бумажном либо электронном виде в установленной законом форме. Обязательным является заполнение формы Т-2, где предстоит указать общие сведения и информацию о приеме на ту или иную должность. В будущем именно в личную карточку вносят пометки о смене департамента или специализации, повышении или понижении в должности, прохождении аттестации, повышении квалификационного уровня, переподготовке, наградах и социальных гарантиях. Дополнительно прописывается контактный телефонный номер и место проживания (формальное и фактическое).
Организация учета и хранения персональных данных в соответствии с законодательными нормативами — зона ответственности работодателя, которому предстоит:
Естественно, часть вопросов можно переложить на плечи подчиненных, но вот подписывать внутренние положения, приказы и т.д. должен именно руководитель, и ему необходимо четко понимать, как устроен процесс обеспечения безопасности ПДн.
Основные правила хранения и использования персональных данных оператором
В зависимости от сферы деятельности, масштабов организации и других факторов система обработки личной информации может существенно отличаться. Часть компаний предпочитает «по старинке» использовать бумажные носители, другие переходят в полностью электронный формат работы, хотя чаще всего наблюдается комбинированный вариант. ФЗ-152 и правительственными постановлениями предусмотрены общие условия хранения персональных данных в организации, которых должны придерживаться все:
Инструкция, как организовать хранение и использование персональных данных
И в ФЗ-152, и в ТК РФ четко прописано, что за безопасность личных сведений несет ответственность руководитель организации, которому для выполнения всех правил необходимо:
После исполнения всех требований, предъявляемых к операторам ПДн, необходимо осуществлять контроль над соблюдением прописанных в локальных актах правил, а также отслеживать изменения в нормативно-правовой базе. Для того чтобы поддерживать процесс обработки ПДн в организации в соответствие действующим требованиям необходимо периодически проводить независимый аудит, что позволит своевременно выявлять и устранять ошибки и несоответствия в документах, тем самым гарантируя сохранность и защиту персональных данных сотрудников и клиентов.
Где хранятся персональные данные
Защита персональных данных
с помощью DLP-системы
Х ранение персональных данных – актуальная тема. Законодательство России устанавливает, что руководитель компании обязан обеспечить комплексную защиту персональных данных работников. Если хранение сведений, относящихся к персональным данным, проводится ненадлежащим образом, руководство компании привлекают к административному или уголовному наказанию, согласно КоАП или УК РФ.
Поэтому гарантирование правильного хранения персональных данных, как и безопасность сведений, относящихся к коммерческой тайне, – первоочередная задача службы информационной безопасности частных компаний и государственных учреждений.
Личная информация: что это?
Понятие личных данных закреплено в ФЗ России «О персональных данных», по нормам которого под указанную категорию подпадают сведения, используемые для идентификации гражданина. К персональным данным относят:
Таким образом с момента оформления на работу гражданин передает служащим компании доступ к персональным данным. Работникам отдела кадров компании запрещено распространение персональных данных без согласования с работником или другого, установленного законодательно основания.
Как хранить личные сведения: общие требования
Условия хранения и использования персональных данных установлены законодателем. Несоблюдение требований закона сотрудниками отдела кадров влечет нарушение права граждан на конфиденциальность их личных данных, закрепленного в Конституции РФ.
В соответствии с нормами статьи 87 Трудового кодекса России, порядок хранения и обработки персональных данных сотрудников компании разрабатывается и утверждается руководителем. Та же статья Трудового кодекса регламентирует, что внутренний порядок хранения и использования личных данных сотрудников разрабатывается с учетом законодательных норм. То есть хранится личная информация с учетом требований, закрепленных в Конституции, Трудовом кодексе, ФЗ «О персональных данных» и других нормативных актах.
Сроки хранения документации с персональной информацией сотрудников закреплены Приказом Министерства культуры № 558, принятым в 2010 году. В соответствии с нормативно-правовым актом:
Для обеспечения безопасности хранения и обработки персональных данных разрабатывается специальный акт, именуемый «Соглашением о неразглашении конфиденциальных данных», который подписывают должностные лица, получившие доступ к персональным данным работников компании: как рядовые сотрудники отдела кадров и бухгалтерии, так и руководители отделов и управлений, включая исполнительного и генерального директора компании.
Где хранить личные сведения
В зависимости от вида персональных данных, различают два носителя конфиденциальной информации:
На практике частные компании дублируют данную информацию. То есть хранение персональных данных осуществляется одновременно на бумаге и в электронной форме. За безопасность и неразглашение персональных данных отвечают отдел кадров и бухгалтерия компании. Бумажные носители персональных данных хранятся в сейфе, за ключ от которого отвечает главный бухгалтер компании или начальник отдела кадров.
Бумажные носители личной информации
В государственных учреждениях и частных компаниях работники отдела кадров ведут личные дела сотрудников традиционным способом (в бумажном варианте). В этом случае на каждого сотрудника заводится папка-накопитель, в которую в хронологическом порядке подшивают информацию, относящуюся к персональным данным, в виде оригиналов и копий. При этом закон не регламентирует единого порядка хранения данных дел в частных компаниях.
Хранение ПДн на бумажных носителях
| Преимущества | Недостатки |
| Облегчение учета личных данных – все они хранятся в одном месте. | Увеличение объема работы – регулярная прошивка, нумерация, внесение данных в опись, сверка предоставленных копий данных с оригиналами, архивирование дел. |
| Четкая систематизация данных. | Необходимость в дополнительных ресурсах для хранения бумажных данных – приобретение сейфов, выделение специальных помещений для хранения дел. |
| Быстрый поиск по данной информации. | Обучение персонала навыкам работы с данной категорией дел. |
| Сложность поиска нужных данных, касающихся отдельного работника. | |
| Увеличение риска распространения конфиденциальных данных. |
Информация с персональными данными сотрудников может распределяться по разным бумажным носителям, и подшивается данная документация в отдельные тематические папки-накопители в соответствии с номенклатурой компании.
Документация, касающаяся персональных данных сотрудников, общего назначения (анкеты, автобиографии, приказы, доверенности, трудовые договоры) хранится в отдельных накопительных папках. Хранят папки с личными данными в сейфах, располагая в алфавитном порядке или согласно номеру регистрации. Хранение персональных данных таким способом требует меньше трудозатрат сотрудников кадровой службы.
Электронные носители личной информации
Хранение персональных данных на электронных носителях предполагает использование автоматизированных баз данных и защищенных информационных систем. Обработка конфиденциальных данных на электронных носителях имеет ряд преимуществ, однако в таком способе есть и недостатки.
Хранение ПДн на электронных носителях
| Преимущества | Недостатки |
| Снижение расходов на приобретение дополнительных ресурсов для хранения данных. | Необходимость создавать резервные копии баз данных. |
| Отсутствие необходимости в специальных помещениях для хранения. | Высокая стоимость оборудования и программ, обеспечивающих безопасность персональных данных, которые хранятся на электронном носителе. |
| Высокая скорость поиска, обработки и использования данных. | Необходимость в обучении персонала навыкам администрирования для пользования электронными данными. |
| Защищенность конфиденциальных данных от несанкционированного доступа. | Сотрудники, получившие доступ к данным, должны уметь работать с электронными носителями информации. |
| Неограниченный срок хранения данных (в отличие от бумажных носителей). | |
| Автоматическая архивация данных. |
Для защиты электронных баз данных и хранящейся на них личной информации:
Рекомендации для работодателя
Чтобы не допустить нарушения конфиденциальности личной информации сотрудников и избежать привлечения к ответственности, руководителю компании следует проверить:
Каждый из методов хранения личной информации имеет ряд преимуществ и недостатков. Поэтому на практике сочетают оба метода: ведут личные дела и дублируют сведения на электронных носителях.
