Вот неприятный факт: если в прошлом сезоне вы подготовили хотя бы одну налоговую декларацию для платного клиента и у вас нет действующего Письменного плана информационной безопасности (WISP), технически вы нарушаете федеральный закон. Федеральная торговая комиссия (FTC) может оштрафовать вас на сумму до 46 517 долларов за каждое нарушение в день. IRS может аннулировать ваш PTIN. А ваш страховщик профессиональной ответственности может отказать в выплате по иску после утечки данных, указав на отсутствие этого документа.
Большинство специалистов по налогам и бухгалтеров слышали аббревиатуру «WISP», но относятся к ней как к чужой проблеме — к чему-то, о чем должны беспокоиться крупные фирмы с комплаенс-менеджерами. Это предположение устарело примерно на пять лет. Обновленное «Правило защиты информации» (Safeguards Rule) ФТК, полностью вступившее в силу в июне 2023 года, распространило требования на частных специалистов, небольшие фирмы CPA и бухгалтерские бюро, приравняв их к региональным банкам. Каждый платный специалист, который подает заявку на получение или продление PTIN, теперь обязан подтвердить в строке 11 формы W-12, что он понимает свои обязательства по обеспечению безопасности данных.
В этом руководстве рассматривается, что такое WISP на самом деле, девять элементов, которые ожидают увидеть ФТК и IRS, технические средства контроля, перешедшие из разряда «рекомендуемых» в «обязательные», и способы создания плана, который выдержит реальную проверку, а не просто будет красиво смотреться в папке.
Два закона, которые привели вас к этому
Две пересекающиеся регуляторные линии ведут к одному и тому же результату: вам нужен письменный план.
Закон Грэмма — Лича — Блайли (GLBA) и «Правило защиты информации» ФТК. Конгресс принял GLBA в 1999 году для регулирования того, как финансовые учреждения обращаются с информацией о клиентах. Исполнительный регламент ФТК — Правило защиты информации (16 CFR Part 314) — определяет «финансовое учреждение» достаточно широко, чтобы включить любой бизнес, «активно участвующий» в финансовой деятельности. ФТК давно придерживается позиции, что подготовка налогов, бухгалтерский учет и аналогичные услуги подпадают под это определение. Правило было существенно обновлено в декабре 2021 года, а новые технические требования (MFA, шифрование, квалифицированное лицо, письменная программа) полностью вступили в силу 9 июня 2023 года.
Публикация IRS 4557 и подтверждение в PTIN. Разделы 7216 и 6713 Налогового кодекса США уже предусматривали штрафы за несанкционированное разглашение информации из налоговых деклараций. IRS дополнила их Публикацией 4557 («Защита данных налогоплательщиков») и Публикацией 5708 («Создание письменного плана информационной безопасности для вашей налоговой и бухгалтерской практики») в качестве практического руководства. В цикл продления PTIN 2024 года был добавлен обязательный пункт: специалисты по подготовке налогов должны подтвердить соблюдение требований WISP в строке 11 формы W-12. Ложь в этой строке сама по себе является серьезной проблемой.
Итог: налоговый кабинет на одного человека в торговом центре теперь подчиняется тем же базовым правилам, что и региональная фирма CPA. Правило масштабирует средства контроля в зависимости от вашего размера и сложности, но обязанность иметь письменный план является бинарной — он либо есть, либо его нет.
Кому он действительно необходим
Вам нужен WISP, если вы:
- Готовите любые федеральные налоговые декларации за вознаграждение (включая случайные подработки для платных клиентов).
- Имеете PTIN, EFIN или являетесь авторизованным провайдером электронной подачи деклараций IRS.
- Предоставляете услуги по бухгалтерскому учету, расчету заработной платы или финансовому учету, связанные с финансовой информацией клиентов.
- Работаете в качестве виртуального финансового директора (vCFO), внешнего контролера или аутсорсингового бухгалтера.
- Управляете зарегистрированным инвестиционным советником (RIA), ипотечным брокером, пунктом обналичивания чеков или другой организацией, подпадающей под действие GLBA.
Объем работы не имеет значения. Правило не дает поблажек, если вы готовите менее X деклараций или зарабатываете меньше Y в качестве гонораров. На зарегистрированного агента (EA), готовящего двадцать деклараций в год, распространяются те же требования, что и на фирму из 200 человек — оба должны иметь письменный, актуальный и подписанный план.
В Правиле защиты информации существует узкое исключение для организаций, хранящих информацию менее чем о 5 000 потребителей, которое смягчает несколько требований к документации (письменная оценка рисков, план реагирования на инциденты, ежегодный отчет совету директоров). Но основная обязанность — назначение квалифицированного лица, внедрение мер защиты и наличие письменной программы — сохраняется независимо от размера.
Девять элементов, которые должен содержать ваш WISP
Обновленное Правило защиты информации определяет девять обязательных компонентов. Ваш WISP не обязан использовать именно эти заголовки, но каждый из них должен быть отражен в документе. Шаблон Публикации IRS 5708 следует той же структуре.
1. Назначение квалифицированного лица
Вы должны официально назначить одного человека, ответственного за надзор за программой информационной безопасности. Для частного специалиста это вы сами. Для фирмы это обычно управляющий партнер, руководитель IT-отдела или — все чаще — сторонний виртуальный CISO (vCISO). Квалифицированное лицо не обязательно должно быть экспертом по безопасности, но оно должно обладать полномочиями для принятия решений и отчитываться перед владельцами или советом директоров.
Задокументируйте это назначение в письменном виде. Укажите дату начала полномочий, их объем и линию отчетности.
2. Проведите письменную оценку рисков
Определите, какую информацию о клиентах вы собираете, где она хранится, кто имеет к ней доступ и что может пойти не так. Оценка должна быть оформлена в письменном виде и периодически обновляться — как минимум ежегодно, а также всякий раз, когда в вашей рабочей среде происходят существенные изменения (новое программное обеспечение, новые сотрудники, новый офис, утечка данных).
Минимальный охват:
- Реестр данных: номера социального страхования, даты рождения, номера финансовых счетов, копии форм W-2 и 1099, банковские выписки, налоговые декларации за предыдущие годы, данные EIN, формы K-1
- Места хранения: базы данных налогового ПО, облачные резервные копии, вложения в электронных письмах, клиентские порталы, бумажные файлы, мобильные устройства, USB-накопители
- Сценарии угроз: фишинг, программы-вымогатели, потеря ноутбука, недобросовестный сотрудник, взлом поставщика, физическое проникновение
- Вероятность и последствия: ранжируйте каждый сценарий, чтобы ваши меры защиты были пропорциональны рискам
3. Разработайте и внедрите меры защиты
Это основная часть WISP. Правило (Safeguards Rule) требует конкретных технических и административных мер контроля, некоторые из которых более не являются необязательными:
- Управление доступом: ограничьте доступ к данным клиентов по принципу служебной необходимости; немедленно аннулируйте доступ при увольнении сотрудника
- Шифрование при хранении и передаче: AES-256 (или эквивалент) на всех устройствах, жестких дисках, резервных копиях и съемных носителях; TLS 1.2 или выше для данных в процессе передачи; полнодисковое шифрование на каждом ноутбуке и рабочей станции
- Многофакторная аутентификация: обязательна для всех, кто получает доступ к информации о клиентах из любой системы — налогового ПО, порталов электронной подачи документов, облачных хранилищ, электронной почты, инструментов удаленного доступа. MFA только через SMS признается устаревшим; по возможности используйте приложения-аутентификаторы или аппаратные ключи
- Безопасная разработка и настройка: если вы создаете или кастомизируете программное обеспечение, применяйте стандарты безопасного программирования; устанавливайте исправления (патчи) систем согласно определенному графику
- Инвентаризация и утилизация: отслеживайте устройства и безопасно утилизируйте носители информации (измельчение или очистка по стандартам NIST 800-88)
- Управление изменениями: документируйте и одобряйте изменения в системах, обрабатывающих данные клиентов
4. Регулярно контролируйте и тестируйте меры защиты
Вы должны подтвердить, что меры контроля действительно работают. Правило предлагает два допустимых пути:
- Непрерывный мониторинг: инструменты вроде SIEM, EDR или управляемые службы обнаружения и реагирования (MDR), которые ведут журналы и оповещают о подозрительной активности
- Ежегодное тестирование на проникновение плюс полугодовая оценка уязвимостей: традиционное стороннее тестирование, если у вас не внедрен непрерывный мониторинг
Для индивидуального налогового специалиста «непрерывный мониторинг» может означать правильно настроенный продукт для защиты конечных точек, который оповещает об аномалиях. Крупным фирмам следует привлекать внешние службы тестирования.
5. Обучайте свой персонал
Ежегодное обучение по вопросам безопасности является обязательным для всего персонала, имеющего доступ к данным клиентов, включая подрядчиков и сезонных сотрудников. Темы должны включать распознавание фишинга, гигиену паролей, безопасность устройств, социальную инженерию и сообщения об инцидентах.
Ведите учет посещаемости. Фраза «Я сказал им об этом на планерке» не считается.
6. Контролируйте поставщиков услуг
Каждый поставщик, имеющий доступ к клиентским данным — разработчики налогового ПО, облачные хранилища, системы управления документами, ИТ-поддержка, провайдеры расчета заработной платы, инструменты электронной подписи и даже компания по уничтожению документов — должен быть:
- Выбран с проведением надлежащей проверки (due diligence) их методов обеспечения безопасности
- Связан письменным договором, требующим соблюдения соответствующих мер защиты
- Периодически переоцениваться (обычно ежегодно)
Запрашивайте у поставщиков отчет SOC 2 Type II или его эквивалент. Договор должен включать пункт об уведомлении об утечке с четко определенными сроками — большинство фирм требуют уведомления в течение 72 часов после обнаружения.
7. Поддерживайте программу в актуальном состоянии
Пересматривайте и корректируйте WISP всякий раз, когда меняется ландшафт угроз или ваша операционная деятельность. Новый офис? Новое ПО? Приобрели небольшую практику? Обновите план.
8. Разработайте письменный план реагирования на инциденты
План должен охватывать:
- Внутреннюю эскалацию: кто узнает об инциденте и в каком порядке
- Локализацию и устранение последствий: кто «останавливает кровотечение»
- Внешнее уведомление: клиенты, генеральные прокуроры штатов, FTC и IRS
- Документирование: сохранение журналов, улик и хронологии событий
- Извлеченные уроки: ретроспективный анализ с документированием корректирующих действий
IRS ожидает, что налоговые специалисты сообщат о краже данных в течение 24 часов после обнаружения через отдел IRS Stakeholder Liaison и Федерацию налоговых администраторов. Согласно поправкам к Правилу о мерах защиты (Safeguards Rule), вступившим в силу 13 мая 2024 года, вы также должны уведомить FTC о любом событии безопасности, затрагивающем 500 или более потребителей, не позднее чем через 30 дней после обнаружения — такая подача является публичной.
9. Отчитывайтесь перед Советом директоров (или руководством)
Квалифицированное лицо должно представлять как минимум ежегодный письменный отчет совету директоров или, в случае небольших фирм, вышестоящему должностному лицу. Отчет должен охватывать общее состояние программы, результаты оценки рисков, значимые события за год и любые рекомендуемые изменения.
Работаете на себя? Напишите отчет самому себе, подпишите его и подшейте в папку. Да, именно так.
Бухгалтерские записи: Забытый аспект соблюдения требований
Если к вам когда-нибудь придет регулятор или аудитор, первое, что они попросят — это документация. В вашем WISP написано, что вы обучали персонал в марте, оплатили услуги стороннего вендора по тестированию на проникновение в июле, заменили рабочую станцию в сентябре и продлили киберстрахование в ноябре — и вам понадобятся чеки, счета-фактуры и записи в гроссбухе, чтобы подтвердить каждое из этих утверждений. Практики, которые рассматривают расходы на безопасность как «прочие расходы» в выписке по кредитной карте, в итоге оказываются в сложной ситуации.
Настройте четкое разделение расходов на безопасность в плане счетов (обучение, ПО, аудит, страхование, оборудование), чтобы вы могли сформировать чистый отчет по годам по первому требованию. Те же записи в текстовом формате (plain-text), которые удовлетворяют вашего бухгалтера при подаче налоговой отчетности, станут вашим доказательным файлом, когда FTC спросит, как вы реализовали свой план на практике.
Технические средства контроля, на которых чаще всего спотыкаются
Два требования составляют большинство неудач с WISP на практике.
Многофакторная аутентификация везде. Правило не допускает использования MFA «там, где это удобно». Оно применяется ко всем, кто получает доступ к информации о клиентах из любой системы. Сюда входят ваше налоговое программное обеспечение, портал электронной подачи документов, портал для клиентов, электронная почта (в которой содержатся вложения с налоговыми данными), облачные хранилища, бухгалтерское ПО и любые инструменты удаленного доступа. IRS настоятельно рекомендует использовать приложения-аутентификаторы или аппаратные токены вместо SMS, которые уязвимы для атак с подменой SIM-карт.
Быстрая самопроверка: выйдите из всех бизнес-приложений, которыми вы пользуетесь. Попробуйте войти снова. Если хотя бы в одном из них требуется только пароль — у вас обнаружено нарушение.
Шифрование хранимых данных. Полнодисковое шифрование требуется на каждом устройстве, где хранится информация о клиентах — включая личный ноутбук вашего сезонного помощника, который он приносит в домашний офис. BitLocker в Windows Pro и FileVault в macOS соответствуют требованиям при правильной настройке. Шифруйте резервные копии, USB-накопители и любые портативные носители. Шифруйте электронную почту, если она содержит данные клиентов (хотя клиентский портал обычно является лучшим решением, чем зашифрованная почта).
Другим часто упускаемым элементом контроля является надзор за поставщиками. У многих фирм есть отчет SOC 2 от поставщика налогового ПО, но нет контракта или оценки для небольшого облачного хранилища, на которое они подписались в прошлом году, плагина для электронной подписи, который они тестировали, или ИТ-подрядчика с учетными данными администратора. Составьте реестр поставщиков и обновляйте его ежегодно.
Что происходит, когда вы допускаете ошибки
Штрафы отнюдь не теоретические:
- Гражданские штрафы FTC в размере до 46 517 долларов за каждое нарушение в день в соответствии с обновленным Правилом защиты (Safeguards Rule)
- Штрафы за отсутствие уведомлений, которые в опубликованных делах достигали 500 000 долларов
- Приостановка или аннулирование PTIN со стороны IRS, что фактически лишает вас возможности составлять налоговые декларации
- Действия генеральных прокуроров штатов в соответствии с законами штатов об уведомлении о взломе (которые существуют во всех 50 штатах)
- Частные судебные иски от пострадавших клиентов с установленной законом компенсацией ущерба в некоторых штатах
- Отказы в страховых выплатах, когда полис страхования профессиональной ответственности или киберстрахования исключает претензии, возникшие вследствие несоблюдения нормативных требований
- Репутационный ущерб, который для налоговой практики часто означает потерю значительной части клиентской базы в течение двенадцати месяцев
IRS четко заявила, что отсутствие WISP рассматривается как доказательство системного несоблюдения требований, а не просто как недочет в документации.
Реалистичный план создания надежного WISP
Переход от полного отсутствия плана к защищенной стратегии — это проект на четыре-шесть недель для частного специалиста и многомесячная работа для крупной фирмы. Реалистичная последовательность:
Неделя 1: Инвентаризация. Перечислите каждую систему, которая касается данных клиентов, каждого сотрудника или подрядчика с доступом, каждого поставщика в цепочке данных и каждое устройство, которым вы владеете. Это ваш исходный материал.
Неделя 2: Оценка рисков. Пройдитесь по вероятным угрозам в отношении объектов инвентаризации. Оцените каждый сценарий. Определите пять основных уязвимостей.
Неделя 3: Анализ пробелов. Сравните текущие меры контроля с девятью обязательными элементами. Отметьте каждый пробел. Самыми большими пробелами для малых фирм обычно являются охват MFA, контракты с поставщиками и процедуры реагирования на инциденты.
Неделя 4: Устранение недостатков. Включите MFA везде. Внедрите полнодисковое шифрование на каждом устройстве. Подпишите письменные соглашения с ключевыми поставщиками. Запланируйте обучение. Документируйте всё.
Неделя 5: Написание WISP. Используйте шаблон IRS Publication 5708 в качестве отправной точки и тщательно адаптируйте его под себя — скопированный план хуже, чем его отсутствие, так как он демонстрирует недобросовестность. План должно подписать ответственное квалифицированное лицо.
Неделя 6 (и ежегодно): Тестирование, обучение, отчетность. Проведите тренировочное упражнение по вашему плану реагирования на инциденты. Проведите ежегодное обучение. Подготовьте ежегодный отчет для руководства. Запланируйте следующий аудит.
Установите напоминания в календаре для ежегодного цикла. Самая распространенная неудача в соблюдении требований — это не отсутствие первоначального WISP, а ситуация, когда фирма написала его в 2023 году и больше никогда к нему не возвращалась.
Несколько распространенных заблуждений
«Мое налоговое ПО сертифицировано по SOC 2, так что я защищен». Нет. Соответствие поставщика ПО требованиям распространяется на их среду, а не на вашу. Вам все равно нужен WISP для всего, что вы делаете за пределами их платформы — электронной почты, локальных файлов, вашей офисной сети.
«Я работаю из дома, поэтому правила другие». Это не так. К домашней практике предъявляются те же требования по наличию WISP, что и к офисной. Если на то пошло, контроль в этом случае даже сложнее, так как граница между личными и рабочими системами размыта.
«Я отдаю бухгалтерию на аутсорс офшорной команде, так что они занимаются безопасностью». Согласно Правилу, они являются вашим поставщиком. Вы несете ответственность за их оценку, заключение контракта с ними и контроль их мер безопасности.
«У меня есть киберстрахование, так что я защищен». Большинство полисов киберстрахования теперь требуют наличия WISP в качестве условия покрытия. Читать мелкий шрифт после взлома — плохое время для того, чтобы узнать об этом.
Держите свои финансы в порядке с первого дня
Надежный WISP строится на документации — как и надежная бухгалтерия. Независимо от того, отслеживаете ли вы подписки на защитное ПО, счета за обучение и аудиторские расходы, подтверждающие реальность вашей программы комплаенса, или просто ведете бухгалтерские записи, доверенные вам клиентами, учет в текстовом формате дает то, чего не может дать закрытое ПО: полную прозрачность, контроль версий и аудиторский след, который принадлежит именно вам. Beancount.io предлагает учет в текстовом формате, который прозрачен, поддерживает контроль версий и готов к работе с ИИ — никакой привязки к поставщику, никаких непрозрачных экспортов. Начните бесплатно и узнайте, почему разработчики и финансовые специалисты переходят на plain-text accounting.