Когда вы передаёте бухгалтерию на аутсорсинг, вместе с папками документов вы отдаёте чужим людям доступ к самому чувствительному, что есть у бизнеса: данным о доходах, зарплатах, счетах, контрагентах, структуре собственности. Многие предприниматели делают это интуитивно, ориентируясь на рекомендации знакомых или красивый сайт компании. Между тем вопрос безопасности финансовых данных при аутсорсинге бухгалтерии — это не паранойя и не формальность. Это реальный риск с реальными последствиями: от налоговых претензий до уголовных дел и потери бизнеса. В этой статье я подробно разберу, какие данные вы передаёте, какие угрозы существуют, что прописать в договоре, какие вопросы задать потенциальному партнёру и как самостоятельно проверить компанию ещё до подписания документов.

За годы работы в сфере бухгалтерского аутсорсинга в Москве я убедился: большинство предпринимателей не задают вопросы о безопасности данных вообще. Их волнует цена, скорость сдачи отчётности и наличие специалиста по их системе налогообложения. Это понятно, но опасно. Бухгалтерская компания — это не просто исполнитель. Это организация, которая знает о вашем бизнесе больше, чем многие ваши партнёры. Она видит реальную выручку, знает о кредитах, видит платёжные поручения и зарплатные ведомости. Если эти данные окажутся в чужих руках — через взлом, недобросовестного сотрудника или небрежное хранение — последствия могут быть катастрофическими. Проверка безопасности перед выбором аутсорсера — это не недоверие к партнёру, это базовая деловая осторожность. Серьёзная компания ответит на все вопросы спокойно и с документами в руках.

Мария Платежкина
Главный бухгалтер pbu.ru , 11 лет опыта

Какие данные вы на самом деле передаёте бухгалтерской компании

Прежде чем говорить о защите, нужно чётко понять, что именно оказывается в руках аутсорсера. Многие предприниматели думают: «Ну, они просто заполняют декларации». На практике картина совсем другая.

Бухгалтерская отчётность: баланс, ОПУ, ОДДС

Бухгалтерский баланс, отчёт о прибылях и убытках, отчёт о движении денежных средств — это финансовый портрет вашего бизнеса. Любой, кто умеет читать эти документы, мгновенно понимает реальное финансовое положение компании: сколько активов, каков долг, насколько прибылен бизнес. Степень конфиденциальности этих данных — высокая. Для публичных компаний отчётность обязательно раскрывается, но для малого и среднего бизнеса она составляет коммерческую тайну.

Зарплаты и доходы сотрудников

Зарплатные ведомости, расчётные листки, данные для начисления НДФЛ и страховых взносов — это персональные данные физических лиц в понимании Федерального закона №152-ФЗ «О персональных данных». Их обработка требует соблюдения строгих правил: получения согласия, обеспечения защиты, ограничения круга лиц, имеющих доступ. Утечка зарплатных данных — это не только репутационный удар, но и прямое нарушение закона.

Реквизиты банковских счетов и платёжные данные

Расчётные счета, корреспондентские счета, данные банк-клиента — информация, которая при попадании в руки мошенников позволяет организовать несанкционированные платежи или подставные транзакции. Особую опасность представляет ситуация, когда аутсорсер получает не только доступ к просмотру, но и право формирования платёжных поручений.

Сведения о контрагентах

Договоры с поставщиками и покупателями, условия сотрудничества, скидки, отсрочки, объёмы закупок — это информация, которую ваши конкуренты готовы дорого заплатить. Зная, у кого вы закупаете сырьё и на каких условиях, конкурент может переманить вашего поставщика или предложить вашему клиенту более выгодные условия.

Налоговые декларации и расчёты

Налоговая декларация — это документ, содержащий налоговую тайну в соответствии со статьёй 102 Налогового кодекса РФ. Сведения, составляющие налоговую тайну, не подлежат разглашению. Их незаконная передача третьим лицам влечёт ответственность. При этом именно декларации дают полное представление о реальных оборотах бизнеса.

Данные о структуре собственности и бенефициарах

Информация о том, кому реально принадлежит бизнес, какова доля каждого участника, кто является конечным бенефициаром — данные особой чувствительности. Их раскрытие может создать угрозу для собственников лично: от корпоративных конфликтов до давления со стороны недобросовестных партнёров.

Коммерческие тайны: себестоимость, маржа, ценообразование

Бухгалтер видит себестоимость продукции или услуг, маржинальность по каждому направлению, структуру затрат. Это именно та информация, которая защищается Федеральным законом №98-ФЗ «О коммерческой тайне». Конкурент, получивший эти данные, может демпинговать точечно — именно там, где вам больнее всего.

Данные о кредитах, займах и залогах

Информация о кредитной нагрузке компании, залоговом имуществе, условиях займов — это данные, которые определяют переговорную позицию бизнеса. Кредитор или контрагент, знающий о вашей долговой нагрузке, получает серьёзное преимущество на переговорах.

Тип данных Правовой режим Уровень конфиденциальности Последствия утечки
Бухгалтерская отчётность Коммерческая тайна (98-ФЗ) Высокий Конкурентный ущерб, потеря позиций на рынке
Зарплаты сотрудников Персональные данные (152-ФЗ) Очень высокий Административная ответственность, иски сотрудников
Банковские реквизиты Банковская тайна (395-1-ФЗ) Критический Мошеннические операции, хищение средств
Данные контрагентов Коммерческая тайна (98-ФЗ) Высокий Переманивание клиентов/поставщиков конкурентами
Налоговые декларации Налоговая тайна (ст. 102 НК РФ) Очень высокий Налоговые риски, давление со стороны ФНС
Структура собственности Коммерческая тайна (98-ФЗ) Критический Корпоративные конфликты, угрозы собственникам
Себестоимость и маржа Коммерческая тайна (98-ФЗ) Высокий Демпинг конкурентов, потеря клиентов
Кредиты и залоги Банковская тайна (395-1-ФЗ) Высокий Ухудшение переговорной позиции, давление кредиторов

Откуда исходит реальная угроза: классификация рисков

Угрозы безопасности финансовых данных можно разделить на несколько категорий. Понимание природы каждой из них помогает задавать правильные вопросы и требовать конкретных мер защиты.

Внешние угрозы: хакеры, фишинг, вирусы-шифровальщики

Бухгалтерские компании — привлекательная цель для киберпреступников именно потому, что атаковав одну компанию, можно получить доступ к данным десятков и сотен клиентов. Вирусы-шифровальщики (Ransomware) блокируют доступ к данным и требуют выкуп. DDoS-атаки выводят из строя инфраструктуру. Фишинговые письма имитируют сообщения от налоговой или банка и вынуждают сотрудников раскрыть учётные данные. По данным Positive Technologies, финансовый сектор и профессиональные услуги входят в топ наиболее атакуемых отраслей.

Внутренние угрозы: недобросовестные сотрудники

Статистика показывает, что значительная часть утечек данных происходит изнутри организации. Сотрудник бухгалтерской компании, имеющий доступ к вашим данным, может скопировать их перед увольнением, продать конкурентам или использовать для личного обогащения. Особую опасность представляет ситуация, когда сотрудник уходит к конкурирующей бухгалтерской компании вместе с клиентскими базами.

Случайные утечки: человеческий фактор

Ошибочная отправка письма не тому адресату, потеря флешки с данными клиентов, случайная публикация конфиденциального документа в общем доступе — всё это реальные сценарии, которые происходят регулярно. По данным Verizon Data Breach Investigations Report, человеческий фактор присутствует в большинстве инцидентов безопасности.

Утечка через субподрядчиков

Многие бухгалтерские компании привлекают субподрядчиков: IT-специалистов для обслуживания систем, юристов для правовой экспертизы, курьерские службы для доставки документов. Каждый из этих участников — потенциальная точка утечки. Если с субподрядчиком не заключено соглашение о конфиденциальности, ваши данные защищены только добросовестностью чужих людей.

Риск при смене бухгалтерской компании

Один из самых недооценённых рисков: что происходит с вашими данными, когда вы уходите к другому аутсорсеру? Без чётко прописанного порядка возврата и уничтожения данных бывший партнёр может хранить копии ваших документов неограниченное время. Это создаёт риски как утечки, так и использования данных в будущем.

Уязвимости облачных сервисов

Облачные бухгалтерские системы удобны, но создают специфические риски. Уязвимость на стороне провайдера, взлом серверов, некорректная настройка прав доступа — всё это может привести к тому, что ваши данные окажутся доступны посторонним. Важно понимать: ответственность за выбор облачного провайдера лежит на бухгалтерской компании, но последствия несёт ваш бизнес.

Социальная инженерия

Злоумышленники могут звонить сотрудникам бухгалтерской компании, представляясь клиентами, налоговыми инспекторами или представителями банка, и выуживать конфиденциальную информацию. Без специального обучения рядовой бухгалтер легко может стать жертвой такой манипуляции.

Чем грозит утечка финансовых данных: реальные последствия

Когда предприниматели слышат о рисках утечки данных, многие мысленно отмахиваются: «Ну взломают, ну и что». Давайте разберём конкретно, что именно происходит после инцидента.

Прямые финансовые потери

Получив доступ к реквизитам счетов и данным банк-клиента, мошенники могут организовать несанкционированные платёжные поручения. Вернуть похищенные средства крайне сложно — особенно если деньги выведены через цепочку счетов. Даже если платёж удастся оспорить, это займёт месяцы судебных разбирательств.

Репутационный ущерб

Информация о том, что ваша компания не может защитить финансовые данные, разрушает доверие клиентов и партнёров. Особенно болезненно это для компаний, работающих в сфере финансовых услуг, юриспруденции, медицины — там, где конфиденциальность является базовым требованием рынка.

Налоговые риски

Данные о реальных оборотах и структуре расходов, попавшие к недобросовестным лицам, могут быть использованы для доносов в налоговую инспекцию или для давления на бизнес. Налоговая проверка, инициированная на основе «слитых» данных, — это серьёзные временные и финансовые затраты.

Корпоративный шпионаж

Конкурент, получивший информацию о вашей марже, ценообразовании и ключевых контрагентах, получает возможность точечно атаковать ваши позиции: переманивать клиентов, предлагая чуть лучшие условия, или переключать ваших поставщиков на себя.

Административная и уголовная ответственность

Если утечка затронула персональные данные сотрудников, ответственность несёт не только бухгалтерская компания как оператор, но и ваша организация как работодатель. Статья 13.11 КоАП РФ предусматривает штрафы за нарушение законодательства о персональных данных. При умышленных действиях возможна уголовная ответственность по статье 272 УК РФ (неправомерный доступ к компьютерной информации).

Шантаж и вымогательство

Реальный сценарий, о котором мало говорят публично: недобросовестный сотрудник или бывший партнёр, располагающий компрометирующими финансовыми данными, может использовать их для давления на собственника бизнеса. Особенно если в документах есть информация о серых схемах или налоговой оптимизации на грани закона.

Субсидиарная ответственность

Если ошибки аутсорсера привели к налоговым доначислениям, штрафам или блокировке счетов, а в договоре не прописана ответственность исполнителя, расплачиваться придётся вам. Субсидиарная ответственность — это ситуация, когда директор или собственник отвечает личным имуществом по долгам компании.

Страхи предпринимателей: что реально, а что преувеличено

Я регулярно слышу одни и те же возражения от клиентов, когда речь заходит о проверке безопасности аутсорсера. Разберём каждое честно.

«Мои данные попадут к конкурентам»
Реальность:

— это не паранойя. Случаи, когда сотрудники бухгалтерских компаний передавали данные клиентов третьим лицам, задокументированы в судебной практике. Риск реален, и именно поэтому нужен NDA с конкретными санкциями.

«При смене компании данные не удалят»
Реальность:

— обоснованный страх. Без письменного акта об уничтожении данных вы никогда не будете знать наверняка, что ваши документы удалены с серверов бывшего аутсорсера.

«Хакеры взломают облако»
Реальность:

— риск существует, но управляем. Серьёзные провайдеры инвестируют в защиту больше, чем среднестатистическая бухгалтерская компания. Вопрос в том, какой именно провайдер используется и каковы его стандарты безопасности.

«У нас маленький бизнес, нас не будут атаковать»
Реальность:

— это заблуждение. Большинство кибератак автоматизированы и не выбирают жертву по размеру. Малый бизнес атакуют именно потому, что у него слабая защита. Согласно данным Positive Technologies, атаки на малый и средний бизнес составляют значительную долю всех инцидентов.

«Мы работаем с ними много лет, они надёжны»
Реальность:

— долгосрочные отношения снижают, но не устраняют риск. Персонал меняется, системы устаревают, угрозы эволюционируют. Периодическая переоценка безопасности партнёра — это норма, а не недоверие.

«Все эти проверки обидят партнёра»
Реальность:

— профессиональная компания воспринимает вопросы о безопасности как признак зрелости клиента, а не как недоверие. Если компания обижается на вопрос «Зарегистрированы ли вы в реестре операторов персональных данных?» — это само по себе красный флаг.

Матрица рисков: оцениваем чувствительность данных

Не все данные одинаково критичны. Чтобы расставить приоритеты в защите, полезно использовать матрицу рисков — инструмент, который оценивает каждый тип данных по двум параметрам: вероятность утечки и тяжесть последствий.

Тип данных Вероятность утечки Тяжесть последствий Приоритет защиты
Банковские реквизиты и доступ к счетам Средняя Критическая (прямые финансовые потери) Максимальный
Зарплатные данные сотрудников Высокая Высокая (административная ответственность) Максимальный
Налоговые декларации Средняя Высокая (налоговые риски) Высокий
Данные о контрагентах Высокая Средняя (конкурентный ущерб) Высокий
Себестоимость и маржинальность Средняя Высокая (конкурентный ущерб) Высокий
Структура собственности Низкая Критическая (угрозы собственникам) Высокий
Бухгалтерская отчётность Средняя Средняя Средний
Данные о кредитах и залогах Низкая Средняя Средний

Классификация данных по уровням конфиденциальности должна соответствовать требованиям регуляторов. Федеральный закон №152-ФЗ обязывает определить категории обрабатываемых персональных данных и установить соответствующий режим защиты. Федеральный закон №98-ФЗ требует введения режима коммерческой тайны с конкретным перечнем защищаемых сведений и соответствующей маркировкой документов.

Правовая база: что говорит закон

Прежде чем задавать вопросы аутсорсеру, важно понимать, какие законодательные требования регулируют защиту финансовых данных. Это позволит оценивать ответы компании не интуитивно, а с опорой на конкретные нормы.

Федеральный закон №152-ФЗ «О персональных данных»

Ключевой закон в сфере защиты данных физических лиц. Он обязывает операторов персональных данных обеспечивать их защиту, получать согласие субъектов на обработку, хранить данные российских граждан на серверах, расположенных в России (требование локализации). Бухгалтерская компания, обрабатывающая зарплатные данные сотрудников вашей организации, является оператором персональных данных и обязана быть зарегистрирована в реестре Роскомнадзора. Проверить регистрацию можно на сайте pd.rkn.gov.ru.

Статья 102 Налогового кодекса РФ: налоговая тайна

Сведения о налогоплательщике, полученные налоговым органом, составляют налоговую тайну. Однако бухгалтерская компания, которая готовит декларации, имеет доступ к этим сведениям по роду деятельности. Важно понимать: передача налоговых данных третьим лицам без законных оснований является нарушением, и ответственность может нести как аутсорсер, так и ваша компания.

Федеральный закон №98-ФЗ «О коммерческой тайне»

Этот закон позволяет вашей компании установить режим коммерческой тайны в отношении информации о себестоимости, ценообразовании, контрагентах и других коммерчески чувствительных данных. Для того чтобы режим коммерческой тайны работал юридически, необходимо: составить перечень сведений, составляющих коммерческую тайну; установить порядок обращения с ней; нанести на носители гриф «Коммерческая тайна»; ввести режим коммерческой тайны приказом по организации. Только при соблюдении этих условий вы сможете требовать юридической ответственности за разглашение.

Федеральный закон №395-1 «О банках и банковской деятельности»: банковская тайна

Информация о банковских счетах и операциях составляет банковскую тайну. Бухгалтерская компания, получающая выписки по счетам, работает с охраняемой законом информацией. Её разглашение влечёт гражданскую, административную и уголовную ответственность.

Ответственность за утечку данных

Административная ответственность за нарушение законодательства о персональных данных предусмотрена статьёй 13.11 КоАП РФ. Штрафы для юридических лиц достигают значительных сумм и были существенно увеличены в последние годы. Уголовная ответственность за неправомерный доступ к охраняемой компьютерной информации предусмотрена статьёй 272 УК РФ. За разглашение коммерческой тайны — статьёй 183 УК РФ.

Лицензирование и сертификация: что проверять

Серьёзная бухгалтерская компания, работающая с конфиденциальными данными, должна иметь ряд подтверждений своей компетентности в сфере безопасности:

  • Регистрация в реестре операторов персональных данных Роскомнадзора (pd.rkn.gov.ru)
  • Для аудиторских компаний — членство в саморегулируемой организации аудиторов (реестр на minfin.gov.ru)
  • Сертификат ISO 27001 — международный стандарт управления информационной безопасностью (при его наличии)
  • Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (при наличии соответствующих услуг)
  • Квалификационные аттестаты сотрудников: аттестат профессионального бухгалтера ИПБ России, ДипИФР (ACCA)

Важно понимать: ISO 27001 — это добровольная сертификация, и её отсутствие не является автоматическим признаком ненадёжности. Однако наличие сертификата свидетельствует о том, что компания прошла независимую проверку системы управления информационной безопасностью.

Договорная защита: что должно быть в документах

Договор с бухгалтерской компанией — это ваш главный инструмент защиты. Многие предприниматели подписывают стандартный договор на оказание услуг, не читая. Это серьёзная ошибка. Расскажу, что должно быть в документах обязательно.

Соглашение о неразглашении (NDA): обязательный отдельный документ

NDA — это не просто пункт в договоре

а отдельный документ, который детально описывает режим конфиденциальности. Качественное NDA должно содержать:

  • Исчерпывающий перечень информации, признаваемой конфиденциальной: коммерческая тайна, персональные данные, налоговые сведения, банковская информация, данные о контрагентах
  • Конкретные штрафные санкции за разглашение — не абстрактное «возмещение ущерба», а фиксированные суммы неустойки
  • Порядок возмещения упущенной выгоды
  • Срок действия обязательств: обязательно указать, что они действуют не только в период сотрудничества, но и после его окончания (как правило, 3–5 лет)
  • Ответственность аутсорсера за действия его субподрядчиков и сотрудников

Если компания предлагает только стандартный договор без отдельного NDA или отказывается его подписывать — это серьёзный красный флаг.

Ключевые пункты договора на оказание услуг

Помимо NDA, основной договор должен содержать ряд критически важных положений:

Пункт договора Что должно быть прописано Зачем это нужно
Перечень лиц с доступом к данным Поимённый список сотрудников аутсорсера Контроль круга лиц, знакомых с вашей информацией
Запрет передачи данных третьим лицам Без письменного согласия клиента Защита от субподрядчиков и партнёров
Уведомление об инциденте В течение 24–72 часов Возможность оперативно принять меры
Право на аудит безопасности Клиент вправе проверить системы аутсорсера Возможность независимой проверки
Возврат и уничтожение данных Порядок, сроки, форма акта Гарантия удаления данных после расторжения
Срок хранения данных Конкретный срок после окончания договора Ограничение периода потенциального риска
Финансовая ответственность За ошибки, штрафы ФНС, пени Возмещение ущерба от бухгалтерских ошибок
Гарантии доступности (SLA) Uptime систем, например 99,9% Непрерывность доступа к данным
Матрица RACI Чёткое разграничение ответственности Устранение споров при инцидентах

Страхование профессиональной ответственности

Наличие действующего полиса страхования профессиональной ответственности

— важный индикатор серьёзности компании. При выборе аутсорсера обратите внимание на три параметра:

  • Страховой лимит должен быть соразмерен масштабу вашего бизнеса. Если ваш годовой оборот — 100 миллионов рублей, а страховое покрытие — 500 тысяч, это несоответствие.
  • Перечень страховых случаев должен включать не только бухгалтерские ошибки, но и инциденты с утечкой данных, штрафы ФНС по вине аутсорсера, блокировки счетов.
  • Полис должен быть действующим — проверьте дату окончания и реквизиты страховщика.

Управление субподрядчиками: невидимый риск

Спросите прямо: кто ещё, кроме штатных сотрудников, имеет доступ к вашим данным? IT-аутсорсер, который обслуживает серверы? Юридическая компания, которая консультирует по сложным случаям? Курьерская служба, доставляющая оригиналы документов? Каждый из этих участников должен быть включён в договорную цепочку с обязательствами о конфиденциальности. Оптимально — получить письменное согласие на привлечение каждого конкретного субподрядчика.

Технические меры защиты: что должно быть у надёжного аутсорсера

Технические аспекты безопасности — это область, в которой большинство предпринимателей чувствуют себя неуверенно. Не нужно быть IT-специалистом, чтобы задавать правильные вопросы. Достаточно знать ключевые термины и понимать, что именно они означают.

Где хранятся ваши данные

Физическое расположение серверов — первый вопрос, который нужно задать. Требования Федерального закона №152-ФЗ обязывают хранить персональные данные российских граждан на серверах, расположенных на территории России. Если аутсорсер использует зарубежные облачные сервисы для хранения данных с персональными данными сотрудников вашей компании — это нарушение закона.

Надёжные дата-центры имеют сертификацию по уровню надёжности Tier III или Tier IV. Tier III предполагает не более 1,6 часа простоя в год, Tier IV — не более 26 минут. Физическая защита ЦОД включает контроль доступа, видеонаблюдение, защиту от пожара и затопления.

Изоляция данных клиентов

Критически важный вопрос: ваши данные хранятся на выделенном сервере или в общей базе с данными других клиентов? Общая база значительно дешевле в обслуживании, но создаёт риск: ошибка конфигурации может открыть доступ к чужим данным. Выделенный экземпляр базы данных или хотя бы жёсткое разграничение на уровне СУБД — необходимый минимум.

Шифрование: стандарты, которые нужно знать

Шифрование данных при передаче должно осуществляться с использованием протоколов TLS версии 1.2 или 1.3. Соединения по устаревшим протоколам SSL и TLS 1.0/1.1 считаются небезопасными. Проверить версию протокола, используемого на сайте компании, можно бесплатно на сервисе SSL Labs (ssllabs.com).

Шифрование данных при хранении должно использовать алгоритм AES-256 — стандарт, признанный надёжным для защиты конфиденциальной информации. Резервные копии также должны быть зашифрованы. Для работы с государственными органами и при использовании электронной подписи применяются сертифицированные ФСБ России средства криптографической защиты информации (СКЗИ).

Контроль доступа: принцип минимальных привилегий

Многофакторная аутентификация (MFA/2FA)

— сотрудник входит в систему не только по паролю, но и с подтверждением через телефон или токен. Это существенно снижает риск компрометации учётных данных.

Ролевая модель доступа (RBAC)

— каждый сотрудник видит только те данные, которые необходимы для его работы. Бухгалтер по зарплате не должен иметь доступ к данным о контрагентах, и наоборот.

Принцип минимальных привилегий

— предоставление ровно тех прав, которые нужны для выполнения конкретной задачи, и не более.

Журналирование действий

— все обращения к данным клиента фиксируются в логах с указанием пользователя, времени и характера действия. Это позволяет расследовать инциденты и выявлять подозрительную активность.

Запрет копирования на личные носители

— технические ограничения на копирование данных на флешки, личные облачные хранилища и через личную почту.

Немедленный отзыв доступа при увольнении

— процедура, которая должна быть прописана и реально выполняться в день увольнения сотрудника.

Сетевая защита

Базовый набор средств сетевой защиты включает межсетевые экраны (firewall), системы обнаружения и предотвращения вторжений (IDS/IPS), корпоративные антивирусные решения, защиту от DDoS-атак и программ-вымогателей. Для удалённого доступа сотрудников должен использоваться VPN с надёжным шифрованием. Сети разных клиентов должны быть сегментированы — изолированы друг от друга на сетевом уровне.

Резервное копирование: конкретные параметры

Резервное копирование данных — это не просто «у нас есть бэкапы». Важны конкретные параметры:

Параметр Минимально приемлемый уровень Рекомендуемый уровень
Частота создания резервных копий Ежедневно Несколько раз в день (инкрементальные)
Место хранения Отдельный сервер Географически распределённые площадки
Шифрование резервных копий Обязательно AES-256 или ГОСТ-совместимые алгоритмы
RPO (допустимая потеря данных) 24 часа 4 часа и менее
RTO (время восстановления) 24 часа 4 часа и менее
Тестирование восстановления Ежеквартально Ежемесячно
Изолированное хранение (air-gap) Желательно Обязательно для критических данных

RPO (Recovery Point Objective) — это максимально допустимый период, за который могут быть потеряны данные при аварии. Если RPO составляет 24 часа, значит, в худшем случае вы потеряете данные за сутки. RTO (Recovery Time Objective) — это время, необходимое для восстановления работоспособности системы после аварии.

Защищённые каналы передачи документов

Один из самых частых источников утечек

— передача документов через незащищённые каналы. WhatsApp, Telegram, личная электронная почта, обычный FTP — всё это недопустимо для передачи конфиденциальных финансовых документов. Надёжная компания должна предоставить:

  • Защищённый корпоративный портал или личный кабинет для обмена документами
  • Корпоративную электронную почту с антиспам-фильтрами и шифрованием
  • Корпоративный мессенджер с end-to-end шифрованием для оперативного общения
  • Работу через сертифицированных операторов ЭДО: Диадок (Контур), СБИС, 1С-ЭДО, Taxcom

Мониторинг и реагирование на инциденты

Зрелая система безопасности предполагает не только защиту, но и способность обнаруживать инциденты и реагировать на них. SIEM-система (Security Information and Event Management) обеспечивает централизованный мониторинг событий безопасности в режиме реального времени. Регламент реагирования на инциденты (IRP) определяет, что делать при обнаружении угрозы: кто уведомляется, в какие сроки, какие действия предпринимаются. Пентесты (тесты на проникновение) — регулярные проверки системы безопасности путём имитации атак. Серьёзные компании проводят их не реже одного раза в год.

Организационные меры: люди важнее технологий

Политики и регламенты компании

У серьёзной бухгалтерской компании должен существовать пакет внутренних документов по безопасности:

  • Политика информационной безопасности — основной документ, определяющий принципы и требования
  • Регламент работы с персональными данными клиентов
  • Приказ о введении режима коммерческой тайны
  • Политика чистого стола и чистого экрана — запрет оставлять конфиденциальные документы без присмотра
  • Регламент уничтожения документов — шредирование бумажных носителей, безопасное удаление цифровых данных
  • Политика использования личных устройств (BYOD) — как правило, запрет работы с личных гаджетов
  • Политика удалённой работы — требования к домашним рабочим местам сотрудников

Попросите показать эти документы или хотя бы подтвердить их существование. Компания, у которой их нет, не может гарантировать системную защиту ваших данных.

Кадровая безопасность

Проверка сотрудников при найме — стандартная практика для компаний, работающих с конфиденциальными данными. Она включает проверку рекомендаций с предыдущих мест работы, проверку судимостей, иногда — проверку кредитной истории (для сотрудников, имеющих доступ к финансовым данным). Все сотрудники, имеющие доступ к данным клиентов, должны подписать NDA. Регулярные тренинги по информационной безопасности и симуляции фишинговых атак снижают вероятность успеха социальной инженерии.

Важный вопрос: сколько сотрудников аутсорсера будет иметь доступ к вашим данным? Чем меньше этот круг, тем ниже риск. Попросите назвать конкретные должности и, если возможно, имена.

Физическая безопасность офиса

Физическая безопасность — часто недооцениваемый аспект. Система контроля и управления доступом (СКУД) в офис, видеонаблюдение в рабочих зонах, изолированные переговорные для обсуждения конфиденциальных вопросов, запрет выноса документов без регистрации — всё это элементы системной защиты. Бумажные документы должны уничтожаться с помощью сертифицированных шредеров с составлением актов уничтожения.

Безопасность при работе с банковскими счетами и ЭЦП

Это особый блок, заслуживающий отдельного внимания. Правильная модель разграничения прав выглядит так: аутсорсер имеет право формировать платёжные поручения, но право их подписи и отправки остаётся только у директора или уполномоченного лица вашей компании. Флешка с электронной цифровой подписью директора никогда не должна передаваться аутсорсеру — это абсолютное правило. Токены ЭЦП должны храниться в сейфе и использоваться только лично владельцем. В банк-клиенте необходимо настроить IP-фильтрацию (разрешить операции только с определённых IP-адресов) и установить лимиты на операции.

Вопросы, которые нужно задать бухгалтерской компании

Вопросы о технической защите

  1. «Где физически хранятся наши данные — сервер в офисе, дата-центр, облако? Какой ЦОД используется?»
  2. «Данные разных клиентов изолированы друг от друга или хранятся в общей базе?»
  3. «Какое шифрование применяется при передаче и хранении наших документов? Какие протоколы и алгоритмы?»
  4. «Как часто создаются резервные копии, где они хранятся и как часто проверяется возможность восстановления?»
  5. «Используете ли вы многофакторную аутентификацию для доступа к системам?»
  6. «Как защищены данные при работе сотрудников из дома?»
  7. «Проводились ли у вас тесты на проникновение за последний год? Можете показать результаты?»

Вопросы о правовой и договорной защите

  1. «Подпишете ли вы отдельное NDA с исчерпывающим перечнем конфиденциальной информации и конкретными штрафными санкциями?»
  2. «Включены ли в договор пункты об ответственности за утечку данных и ошибки, повлёкшие штрафы ФНС?»
  3. «Что произойдёт с нашими данными при расторжении договора? В какие сроки и в каком формате они будут возвращены? Будет ли составлен акт об уничтожении копий?»
  4. «Зарегистрированы ли вы как оператор персональных данных в реестре Роскомнадзора?»
  5. «Привлекаете ли вы субподрядчиков? Какие именно данные им передаются и заключены ли с ними соглашения о конфиденциальности?»
  6. «Как быстро вы уведомите нас в случае инцидента? Есть ли у вас регламент реагирования на инциденты?»

Вопросы об организационных мерах

  1. «Есть ли у вас сертификат ISO 27001 или аналогичный документ, подтверждающий систему управления информационной безопасностью?»
  2. «Как часто ваши сотрудники проходят обучение по информационной безопасности?»
  3. «Проверяете ли вы сотрудников при приёме на работу?»
  4. «Кто конкретно из ваших сотрудников будет иметь доступ к нашим данным? Сколько человек?»
  5. «Есть ли у вас ответственный за защиту данных (DPO) или специалист по информационной безопасности в штате?»

Вопросы о программном обеспечении

  1. «Какие бухгалтерские программы используете — 1С, облачные сервисы? Как настроены права доступа и журналирование?»
  2. «Насколько регулярно обновляется программное обеспечение? Есть ли регламент установки обновлений безопасности?»
  3. «Используете ли вы только лицензионное ПО?»
  4. «Как организован доступ клиента к системе — личный кабинет, отчёты по запросу, совместная работа в облаке?»

Вопросы о репутации и инцидентах

  1. «Были ли у вас инциденты с утечкой данных клиентов? Если да — как вы их решали и что изменили в системе безопасности?»
  2. «Можете ли предоставить рекомендации от действующих клиентов, которых мы можем контактировать напрямую?»
  3. «Есть ли у вас страхование профессиональной ответственности? Каков лимит покрытия?»
  4. «Можем ли мы провести аудит вашей системы безопасности — самостоятельно или с привлечением независимого эксперта?»
Чек-лист

Проверка по официальным реестрам

Чек-лист

Техническая проверка сайта и инфраструктуры

Чек-лист

Проверка репутации

Чек-лист

Проверка договора перед подписанием

Чек-лист

Маркеры «красных флагов»: когда стоит насторожиться

Популярные бухгалтерские системы: что нужно знать об их безопасности

1С:Бухгалтерия

Наиболее распространённая система в России. При правильной настройке обеспечивает гибкое разграничение прав доступа, журналирование действий пользователей, возможность работы в режиме тонкого клиента без хранения данных локально. Ключевые вопросы: как настроены роли пользователей, ведётся ли журнал регистрации действий, где физически расположена база данных.

1С:Fresh (облачная версия)

Облачный сервис от фирмы «1С» с размещением данных на серверах в России. Имеет встроенные механизмы разграничения доступа и резервного копирования. Важно уточнить у аутсорсера, используется ли общий облачный экземпляр или выделенный, и каковы условия SLA провайдера.

Контур.Бухгалтерия и другие облачные сервисы

Облачные бухгалтерские сервисы российских операторов, как правило, хранят данные на серверах в России и соответствуют требованиям 152-ФЗ. При выборе аутсорсера, использующего такие системы, важно проверить политику безопасности конкретного оператора и условия обработки данных.

Системы электронного документооборота

Для обмена документами с контрагентами и государственными органами используются операторы ЭДО: Диадок (Контур), СБИС, 1С-ЭДО, Taxcom. Все они являются аккредитованными операторами ЭДО и обеспечивают юридически значимый документооборот с применением квалифицированной электронной подписи. Передача документов через этих операторов значительно безопаснее, чем через обычную электронную почту.

Процессы передачи данных: от начала до завершения сотрудничества

Онбординг: как правильно начать работу

Первичная передача документов должна происходить только через защищённые каналы — корпоративный портал аутсорсера или зашифрованный email. Все передаваемые данные должны быть зафиксированы в реестре с подписями обеих сторон: что передано, в каком формате, когда. Доступ аутсорсера к вашим системам должен быть настроен по принципу минимальных привилегий — ровно столько, сколько нужно для работы. Ваши сотрудники, взаимодействующие с аутсорсером, должны получить инструктаж о правилах передачи данных.

Текущая работа: мониторинг и контроль

В процессе работы важно не отпускать ситуацию «на самотёк»:

  • Регулярно запрашивайте отчёты о том, кто и когда обращался к вашим данным
  • Контролируйте, что документы передаются только через согласованные системы
  • Периодически пересматривайте перечень передаваемых данных — возможно, часть из них уже не нужна аутсорсеру
  • Запрашивайте ежеквартальный отчёт о состоянии безопасности
  • Следите за изменениями в законодательстве и актуализируйте договор при необходимости

Офбординг: как правильно завершить сотрудничество

Завершение работы с аутсорсером — самый рискованный момент с точки зрения безопасности данных. Правильный офбординг включает:

  • Полный возврат всех документов и данных в согласованном формате и в установленные сроки
  • Гарантированное уничтожение всех копий данных на стороне аутсорсера с составлением акта
  • Отзыв всех доступов к вашим системам и отмену выданных доверенностей
  • Удаление данных из облачных систем аутсорсера
  • Подписание акта об уничтожении данных с детальным перечнем уничтоженной информации

Без акта об уничтожении данных вы никогда не будете иметь юридического подтверждения того, что бывший аутсорсер удалил вашу информацию.

Штатный бухгалтер vs аутсорсинг: сравнение с точки зрения безопасности

Параметр Штатный бухгалтер Бухгалтерский аутсорсинг
Контроль доступа Прямой контроль, один человек Требует договорного регулирования, потенциально несколько человек
Технические меры защиты Зависит от IT-инфраструктуры компании Специализированные системы безопасности (у надёжного аутсорсера)
Риск при увольнении Один человек уходит с данными Процедура офбординга с актом уничтожения данных
Юридическая ответственность Трудовой договор, ограниченная ответственность Договор с финансовой ответственностью и страхованием
Резервное копирование Как правило, не систематическое Регулярное, с тестированием восстановления
Обновление знаний в сфере безопасности Редко Регулярные тренинги (у серьёзных компаний)
Прозрачность действий Высокая (работает рядом) Требует настройки журналирования и отчётности

Вывод: аутсорсинг при правильной организации может быть более безопасным, чем штатный бухгалтер, — за счёт специализированных систем защиты, страхования ответственности и отработанных процессов. Но это требует тщательного выбора партнёра и грамотного договора.

FAQ: ответы на самые частые вопросы

Обязана ли бухгалтерская компания быть зарегистрирована как оператор персональных данных?

Да, обязана. Бухгалтерская компания, обрабатывающая персональные данные сотрудников своих клиентов (ФИО, паспортные данные, СНИЛС, ИНН, сведения о доходах), является оператором персональных данных по смыслу Федерального закона №152-ФЗ «О персональных данных». Она обязана уведомить Роскомнадзор о намерении осуществлять обработку персональных данных и быть включённой в реестр операторов. Проверить факт регистрации можно самостоятельно на сайте pd.rkn.gov.ru. Отсутствие регистрации — прямое нарушение закона и основание для отказа от сотрудничества.

Что должно быть в NDA с бухгалтерской компанией?

Качественное NDA должно содержать: исчерпывающий перечень информации, признаваемой конфиденциальной (с разбивкой по категориям: коммерческая тайна, персональные данные, налоговая информация, банковские данные); конкретные штрафные санкции за разглашение в виде фиксированных сумм неустойки; порядок возмещения реального ущерба и упущенной выгоды; срок действия обязательств — обязательно указать, что они действуют после расторжения договора (как правило, 3–5 лет); ответственность аутсорсера за действия его сотрудников и субподрядчиков; перечень лиц, которые вправе получать доступ к конфиденциальной информации. Важно: NDA должен быть отдельным документом, а не просто пунктом в основном договоре.

Как защитить данные при смене бухгалтерской компании?

Смена аутсорсера — критический момент с точки зрения безопасности. Правильная последовательность действий: до расторжения договора — зафиксируйте в соглашении о расторжении порядок, сроки и формат возврата данных; потребуйте возврата всех оригиналов документов и электронных копий в согласованном формате; после получения данных — подпишите акт об уничтожении копий, оставшихся у аутсорсера, с детальным перечнем уничтоженной информации; немедленно отзовите все доступы бывшего аутсорсера к вашим системам, банк-клиенту, облачным сервисам; отмените все выданные доверенности; смените пароли и ключи доступа к системам, к которым имел доступ аутсорсер. Без письменного акта об уничтожении данных у вас нет юридического подтверждения того, что информация удалена.

Несёт ли бухгалтерская компания ответственность за утечку данных?

Да, несёт — при наличии соответствующих положений в договоре. Ответственность может быть нескольких видов: гражданско-правовая — возмещение реального ущерба и упущенной выгоды (статья 15 ГК РФ); договорная — выплата неустойки, предусмотренной договором или NDA; административная — за нарушение законодательства о персональных данных (статья 13.11 КоАП РФ); уголовная — при умышленном разглашении охраняемой информации (статьи 272, 183 УК РФ). Важно понимать: без чётко прописанной ответственности в договоре доказать и взыскать ущерб крайне сложно. Именно поэтому договорная проработка критически важна ещё до начала сотрудничества.

Безопасно ли передавать бухгалтерию в облачные системы?

Облачные системы могут быть безопасными при соблюдении ряда условий. Во-первых, серверы должны располагаться на территории России — это требование 152-ФЗ для данных с персональными данными граждан РФ. Во-вторых, облачный провайдер должен обеспечивать шифрование данных при передаче (TLS 1.2/1.3) и при хранении (AES-256 или аналог), регулярное резервное копирование, изоляцию данных разных клиентов. В-третьих, доступ к облачной системе должен быть защищён многофакторной аутентификацией. Крупные российские облачные провайдеры и операторы бухгалтерских сервисов, как правило, соответствуют этим требованиям. Риск возникает, когда аутсорсер использует зарубежные облачные сервисы без надлежащей проверки их соответствия российскому законодательству.

Что делать, если утечка уже произошла?

Если вы узнали или подозреваете, что данные утекли: немедленно потребуйте от аутсорсера письменного объяснения обстоятельств инцидента; зафиксируйте все факты в письменном виде с датами и подписями; обратитесь к юристу для оценки перспектив взыскания ущерба; при наличии признаков уголовного преступления — подайте заявление в правоохранительные органы; если утечка затронула персональные данные сотрудников — уведомите Роскомнадзор в соответствии с требованиями 152-ФЗ; проведите аудит всех доступов и смените пароли, ключи и токены. Параллельно оцените, какие данные были скомпрометированы, и примите меры по минимизации ущерба: предупредите контрагентов, чьи данные могли пострадать, измените банковские реквизиты при необходимости.

Р-Бухгалтерия: как мы обеспечиваем безопасность данных клиентов

Если вы рассматриваете возможность передачи бухгалтерии на аутсорсинг или задумываетесь о смене текущего партнёра, мы в Р-Бухгалтерия готовы ответить на все вопросы из этой статьи — открыто и с документами в руках. Мы работаем в Москве и понимаем, что доверие строится не на словах, а на конкретных гарантиях: договорных, технических и организационных. Свяжитесь с нами для консультации — мы расскажем, как именно защищены ваши данные, и при необходимости организуем встречу для детального обсуждения условий сотрудничества.

Связанные статьи

  • Как выбрать бухгалтерскую компанию на аутсорсинг: критерии отбора и распространённые ошибки
  • Что должно быть в договоре с бухгалтерской компанией: полный разбор ключевых пунктов
  • Персональные данные сотрудников: обязанности работодателя и типичные нарушения

Использованные источники

  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» — consultant.ru/document/cons_doc_LAW_61801/
  • Федеральный закон от 29.07.2004 №98-ФЗ «О коммерческой тайне» — consultant.ru/document/cons_doc_LAW_48699/
  • Федеральный закон от 02.12.1990 №395-1 «О банках и банковской деятельности» — consultant.ru/document/cons_doc_LAW_5842/
  • Налоговый кодекс РФ, статья 102 «Налоговая тайна» — consultant.ru/document/cons_doc_LAW_19671/
  • Уголовный кодекс РФ, статья 272 «Неправомерный доступ к компьютерной информации» — consultant.ru/document/cons_doc_LAW_10699/
  • Уголовный кодекс РФ, статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» — consultant.ru/document/cons_doc_LAW_10699/
  • Кодекс об административных правонарушениях РФ, статья 13.11 — consultant.ru/document/cons_doc_LAW_34661/
  • Реестр операторов персональных данных Роскомнадзора — pd.rkn.gov.ru
  • Реестр аудиторов и аудиторских организаций Минфина России — minfin.gov.ru
  • Реестр лицензиатов ФСТЭК России — fstec.ru
  • Единый государственный реестр юридических лиц ФНС России — egrul.nalog.ru
  • Картотека арбитражных дел — kad.arbitr.ru
  • Реестр исполнительных производств ФССП России — fssp.gov.ru
  • Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» — fstec.ru
  • Стандарт ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности» — iso.org/standard/27001
  • Positive Technologies: аналитические отчёты по киберугрозам — ptsecurity.com
  • Verizon Data Breach Investigations Report — verizon.com/business/resources/reports/dbir/
  • SSL Labs — инструмент проверки SSL/TLS — ssllabs.com
  • Have I Been Pwned — база данных утечек — haveibeenpwned.com