Защита финансовой информации: как избежать утечек
Узнать большеСведения о сотрудниках персонального характера в соответствии с 14 главой ТК РФ (ред. 22.11.21, 377-ФЗ) должны находиться в безопасности. К особо ценной информации относятся паспортные данные, номера СНИЛС, сведения об образовании, семейное положение, трудовой стаж. Обеспечить сохранность конфиденциальных данных должен в первую очередь работодатель, приняв соответствующие меры, чтобы избежать утечек.
“Положение о защите персональных данных работника” – важный внутренний документ, который разрабатывается кадровой службой компании, чтобы определить порядок обращения и защиту личных данных работника в процессе их использования. Создание данного документа является обязательной мерой для организаций – № 152-ФЗ (27.07.06). Законодательно отсутствует единая форма и обязательные требования к оформлению “Положения о защите персональных данных работника”, поэтому возможны различные варианты этого документа. Главное, чтобы там был обозначен регламент утверждающий порядок использования и защиты конфиденциальной информации; положение об обработке бумажных и цифровых сведений; инструкции, определяющие цели и функции работы с информацией; перечень ответственных лиц. С подобным внутренним документом должен быть ознакомлен, под роспись, каждый работник, независимо от должности, вовлеченности в процесс обработки персональных сведений.
Структура “Положения о защите персональных данных работника”
Для упрощения использования личных данных персонала и полного представления инструкций, а также регламента использования этих сведений, “Положение об обработке и защите персональных данных работника” должно содержать следующие пункты:
-
Список того, что конкретно относится к категории персональной информации.
-
С какой целью компания проводит мероприятия по сбору, использованию и хранению вверенных сведений.
-
В каком виде, где и в каких подразделениях хранятся данные.
-
Каким образом осуществляется сбор персональной информации.
-
Как, зачем и для чего используются эти сведения.
-
Перечень лиц, имеющих доступ к персональным сведениям сотрудников.
-
Каким образом производится защита конфиденциальных данных сотрудника.
-
Перечень прав персонала для обеспечения защиты личной информации.
-
Ответственность за разглашение сведений конфиденциального характера.
“Положение о защите персональных данных работника”: порядок обработки и хранения информации
Правовая защита персональных данных работника предполагает, что любые сведения личного характера могут обрабатываться, храниться только с согласия владельца. В связи с этим, необходимо подписывать с работниками отдельную форму согласия или обозначить этот момент отдельным пунктом в трудовом договоре.
Согласно ст. 86 ТК РФ (ред. 22.11.21, 377-ФЗ) работодатель должен:
-
Получать исходные сведения исключительно напрямую от владельца.
-
Применять данные только в целях содействия сотруднику, поддержания и сохранения его личной безопасности, исполнения законов и нормативных актов.
-
Руководствоваться Конституцией и ТК РФ при определении объема сбора личных данных, их содержания.
-
Обеспечивать хранение и защиту вверенных сведений за счет компании.
Меры по обеспечению безопасности персональных данных при их обработке
- Выявление информационных угроз
-
Проведение организационных и технических мероприятий, направленных на снижение рисков информационных утечек
-
Учёт информационных носителей
-
Внедрение специализированных защитных мер: ПО, видеонаблюдение, контроль работников
-
Оценка эффективности действующих охранных мероприятий
-
Выявление случаев несанкционированного доступа к важной информации
-
Обнаружение информационных утечек, принятие мер по минимизации последствий, наказание виновных лиц
-
Контроль выполнения введенных в организации правил и мероприятий, направленных на сохранение неприкосновенности персональных данных
DLP-система – способ обеспечения защиты персональных данных
DLP-система относится к функциональным и комплексным решениям по защите от утечки персональных данных работников. Использование такой системы, совместно с методами видеонаблюдения и контроля трафика, даёт отличные результаты по эффективности защиты и поддержания “Положения о защите персональных данных работника”.
С помощью DLP-системы возможно одновременно выполнять следующие задачи:
-
Объективно предоставлять ситуацию внутри компании с разных точек зрения: согласно данным, персоналу, событиям ИБ.
-
Выявлять сотрудников, которые превышают свои полномочия, используя служебное положение.
-
Давать оценки соответствию поведения персонала введенному регламенту в организации.
-
Устанавливать случаи мошенничества, взяточничества и вербовки в коллективе.
-
Контролировать процессы передачи и использования информации.
-
Предотвращать в рабочем процессе случайные утечки данных или заранее спланированные.