Для обеспечения информационной безопасности при работе с кадровыми данными рекомендуется:

1. Зарегистрироваться в Реестре операторов персональных данных. 1 Это обязательно для тех, кто не обрабатывает личную информацию исключительно без средств автоматизации. 1
2. Назначить ответственного за организацию обработки персональных данных. 1 Обязанности по защите данных нужно включить в трудовой договор или должностную инструкцию назначенного работника. 1
3. Принять меры по защите персональных данных. 1 Например:

• ограничить физический доступ к кадровым документам всем, кроме назначенных приказом ответственных лиц; 1
• подписать соглашения о неразглашении с работниками, которые имеют доступ к чужим персональным данным; 1
• использовать защищённое программное обеспечение; 1
• проводить внутренние аудиты работы с персональными данными на регулярной основе. 1

1. Выделять компьютеры кадровиков в отдельную изолированную подсеть. 2 Так даже при компрометации одной из машин вероятность распространения угрозы по сети уменьшится. 2
2. Не хранить персональные данные на рабочих станциях. 2 Они должны храниться на отдельных серверах, а ещё лучше — в специализированной системе для работы с такой информацией. 2 Доступ к ней должен предоставляться с применением многофакторной аутентификации. 2
3. Обучить персонал. 3 Политику информационной безопасности важно не только соблюдать внутри HR-службы, но и донести до всех сотрудников компании. 3