Поводом к написанию данной статьи послужил вопрос нашего клиента по результатам выгрузки и изучения Комплекта ОРД в сервисе «152DOC для 1С» (152DOC). Клиент посчитал, что документы ему не подходят и нужно их полностью переработать. Одна из причин сформирована в вопросе клиента:
«По сформированным документам компьютеры должны принадлежать ИП. Это прописано четко. А они не принадлежат, потому что сотрудники работают удаленно на своих. Получается, что мы нарушаем, причем свои же собственные инструкции? Если нет, тогда почему сотрудники работают на своих? Что сказать в случае проверки?».
При ответе мы обратили внимание на следующие важные аспекты:
- Расхождения между документами и реальной обстановкой дел в компании (или у ИП) не означают, что надо менять документы. Документы сервиса «152DOC для 1С» выстроены с учетом требований закона, это то, к чему необходимо стремиться. Требований в законе много, в том числе такие, о которых оператор мог просто не знать, пока не начал изучать документы. Комплект ОРД помогает понять, где у вас есть тонкие места и риски.
- Основная задача оператора — не в документы правки внести, а проанализировать, где можно сократить риски. Править документы под себя не значит, что в них нужно отражать то, что нарушает закон, или исключать из них законные формулировки.
- Что касается проверок РКН. Во-первых, однозначно будут проверять наличие документов и все ли в них учтено, все ли содержания соответствуют требованиям законодательства РФ. Во-вторых, при выездной проверке РКН будет реально проверять, какие компьютеры задействованы в обработке, в каких помещениях обрабатываются данные. Если в документах написано, что сотрудники работают на личных компьютерах, и оператор никаким образом за них не отвечает, не предъявляет требований к защите, то вот тут будут вопросы.
Вне зависимости от того, работают ли сотрудники из дома или другого удаленного места, работодатели обязаны обеспечить сохранность ПДн, соблюдать требования законодательства и предпринять все необходимые меры для минимизации рисков утечки или неправомерного использования информации.
Мы понимаем, что эта проблема и ситуация касается многих организаций, поэтому подробнее разберем основные моменты, которые следует учесть, если ваши работники удалённо работают с ФИО, должностью, контактной информацией, паспортными данными, ИНН, банковскими реквизитами и иными ПДн.
1. Строгая регламентация удаленной обработки ПДн в локальных актах.
Законодательство в области защиты персональных данных возлагает на работодателей обязательство обеспечить безопасность условий обработки данных, в том числе при удаленной работе. В первую очередь, необходимо разработать и утвердить внутренние нормативные документы. Это могут быть, например, Политика обработки ПДн, Положения о защите ПДн, Порядок работы с удаленным доступом, Правила обмена конфиденциальной информацией, а также Соглашения с сотрудниками о использовании личных устройств и программных средств, Обязательства о неразглашении ПДн и тд.
В этих документах прописываются права и обязанности сторон, требования к оборудованию, порядок передачи и хранения данных, а также ответственность за нарушение правил защиты данных.
Положения внутренних локальных актов должны быть доведены до работников. Обучение сотрудников правилам информационной безопасности — важнейшие организационные меры. До работников должны быть доведены правила парольной защиты, должны быть разграничение прав пользователей — важнейшие организационные меры.
Рекомендации:
- Разработайте и утвердите внутренние нормативные документы, регламентирующие обработку данных.
- Обеспечьте подписание обязательств о неразглашении ПДн. Шаблон такого Обязательства доступен в Правилах обработки ПДн, формируемых в сервисе 152DOC.
- Регулярно обновляйте нормативную документацию. Сервис 152DOC не только поможет разработать необходимые внутренние локальные акты, но вести их учет и актуализацию.
- Проводите регулярное обучение работников правилам информационной безопасности. Ваша задача — донести до сотрудников все требования к локальным актам под подпись. Для этого в сервисе 152DOC есть Инструкции и Листы ознакомления.
2. Запрет на использование личных устройств.
Почему это важно:
- Личные устройства как правило не отвечают строгим требованиям к защите ПДн, порой даже антивирусы не используются.
- Использование несертифицированных или сторонних сервисов для хранения и обмена информацией значительно увеличивает риск утечки, а также усложняет контроль и аудит.
- Сотрудники передают данных через небезопасные каналы связи, такие как электронная почта или сторонние мессенджеры.
- Часто сотрудники хранят конфиденциальные данные на домашних компьютерах или в облачных хранилищах, что снижает уровень защиты и создает дополнительные риски.
- Не менее опасным является возможность несанкционированного доступа третьих лиц, например, родственников или посторонних, что особенно актуально при использовании общего или незащищенного оборудования.
Рекомендации: сотрудники не должны работать на собственных компьютерах, так как это повышает риски и уменьшает контроль за обработкой ПДн. К сожалению, не каждая компания может себе позволить выдавать каждому работнику свой ноутбук. Но это не значит, что не нужно к этому стремиться.
А пока, рекомендуется принять возможные организационные, технические и компенсирующие меры. Например:
- Используйте VPN для безопасного соединения с корпоративной сетью, позволяющее защитить передаваемые данные от перехвата и несанкционированного доступа.
- Подпишите Соглашения с сотрудниками о использовании личных устройств и программных средств;
- Установите запрет на использование личных компьютеров/ноутбуков без соответствующих мер защиты;
- Обязательно проконтролируйте, чтобы работники установили антивирусы, пропишите, какие еще средства защиты нужно установить на рабочих местах удаленных работников (предложите покупку и установку таких средств вашими силами).
- Внедряйте системы автоматического шифрования данных;
- Обеспечьте многофакторную аутентификацию;
- Ведите автоматическое журналирование всех действий пользователей;
- Запретите использование неразрешенных облачных сервисов, сторонних мессенджеров и других каналов передачи данных, не соответствующих требованиям безопасности.
- Регулярно проводите тесты на проникновение и оценки уязвимостей.
- Доведите до сотрудников, что при ремонте или техническом обслуживании устройства, оно должно быть полностью очищено от персональных данных, чтобы исключить возможность их несанкционированного распространения.
- Введите личные компьютеры, ноутбуки, мобильные телефоны в организацию – ведите их учет и регистрацию.
3. Организация и учет средств удаленного и мобильного доступа к информационным системам компании.
Доступ должен быть возможен только при использовании специально зарегистрированных технических средств — персональных компьютеров, ноутбуков, мобильных телефонов, планшетов.
Все эти устройства должны быть учтены, например, в специальных Журналах, которые ведет и хранит администратор безопасности.
В Комплект ОРД сервиса 152DOC входит Инструкция по управлению доступом к информационным системам персональных данных, в которой содержатся шаблоны таких специальных Журналов:
- Журнал учета разрешенных средств удаленного доступа;
- Журнал учета разрешенных мобильных технических средств.
В Журналах фиксируются все характеристики устройств, их конфигурация, дата последнего обновления программного обеспечения и состояние средств защиты информации.
Ведение таких Журналов — важнейшая часть системы контроля: вы будете знать количество задействованных компьютеров/ноутбуков с удаленным доступом, сможете в дальнейшем выстроить систему отслеживания подключений, выявлять потенциальные угрозы и оперативно реагировать на инциденты. Не забывайте, что ответственность в случае утечки ПДн лежит на операторе, то есть на вас!
Рекомендации:
- Регулярно обновляйте программное обеспечение и антивирусные базы данных на всех устройствах сотрудников;
- Введите обязательное использование VPN при удаленном доступе;
- Создайте и поддерживайте актуальные журналы разрешенных удаленных и мобильных устройств;
- Используйте системы удаленного управления мобильными устройствами (MDM);
- Внедрите политику регулярных проверок и обновлений удаленных и мобильных устройств;
- Ограничьте передачу конфиденциальных данных через личные и неподдерживаемые устройства;
- Обеспечьте шифрование данных на удаленных и мобильных устройствах.
4. Дополнительно обратим внимание на некоторые особенности обработки ПДн удаленным работников из-за границы.
Доступ сотрудника к ПДн из-за границы не считается трансграничной передачей, если данные остаются внутри организации.
Однако, соблюдение всех ранее перечисленных требований законодательства, ограничение доступа и четкое прописывание обязанностей сотрудников — залог юридической чистоты и безопасности.
Дополнительные рекомендации:
- Если удаленный работник за границей занимается сбором ПДн российских граждан, то обеспечьте возможность обработки (записи, хранения ПДн) собранных ПДн в базах данных на территории РФ;
- Используйте географические ограничения и фильтры доступа;
- Обеспечьте шифрование данных при передаче за границу;
- Разработайте внутренние политики по разграничению доступа из-за границы.
Работа из дома или иных удаленных точек существенно увеличивает потенциальные угрозы. Обеспечение безопасности ПДн при удаленной работе — это многоуровневый и системный процесс, включающий нормативное регулирование, организационные меры, технические средства и постоянный контроль. Это не только обязательство по закону, но и важная часть доверия и репутации компании.
Только комплексный и постоянный подход, соблюдение всех правил и использование современных средств защиты помогут успешно управлять рисками, связанными с обработкой персональных данных в условиях удаленной работы, и обеспечить безопасность бизнеса в постоянно меняющихся условиях.