sale@iteco.cloud +7-495-252-25-55
Личный кабинет
Все статьи
Новости
13.02.2024
Количество целевых атак и взломов на государственные и частные компании значительно увеличилось с 2022 года. Так, в 2023 году объем утечек ПД было в 2 раза больше, чем в 2022 году. В открытом доступе оказалось свыше 38 млн записей. Однако в действительности вопрос защиты персональных данных в интернете всегда стоял остро. Компании любого масштаба могут потерять прибыль, деловую репутацию и доверие клиентов из-за утечек ПД.

Затронем острую тему и расскажем, как защитить персональные данные в сети интернет, как эта проблема рассматривается в российском законодательстве.

Что такое ИСПДн

ИСПДн расшифровывается как информационная система персональных данных. В нее входят не только сами сведения клиентов, но и средства для работы с ними и меры для обеспечения безопасности. В современном российском законодательстве это понятие идет вместе с обозначением «Оператор персональных данных». Так в законах называют компании, которые собирают информацию о клиентах в сети и занимаются ее обработкой.

Подробнее разберем, что относится к ИСПДн:
  • Персональная информация. Законы охватывают все типы сведений — имена, фамилии, почтовые адреса, номера телефонов, место проживания, дата рождения и т.п. При этом компании обязаны защищать все типы данных. В зависимости от их ценности законодательство также определяет необходимые средства и меры безопасности.
  • Базы данных, в которых информация хранится. Она должна иметь защиту от проникновений извне через интернет.
  • Программы для обработки персональных данных в интернете. К ним относят CRM, нейросети рекомендательных сервисов, SMS-сервисы для отправки коротких сообщений и т.д.
  • Защитное ПО для обеспечения безопасности БД. Для защиты сведений используют межсетевые экраны, антивирусы, инструменты для мониторинга подключений и т.п.
Кратко о 152-ФЗ и персональных данных

ФЗ № 152-ФЗ «О персональных данных» — это основной документ, регулирующий работу с персональными данными. В этом законе сказано, что ПД — это любая информация, прямо или косвенно относящаяся к физическому лицу. Перечня данных, которые считаются ПД, нет, поэтому к ним принято относить любую клиентскую информацию — номера телефонов, имена, адреса и т.д.

Новый закон (ст. 22) предполагает, что компания, планирующая собирать ПД, должна зарегистрироваться в качестве оператора персональных данных. Для этого заполняют форму на сайте и отправляют ее. Роскомнадзор вносит предприятие в реестр в течение 15 дней. Когда это произойдет, компания может начать сбор ПД.

Закон не предписывает, как именно хранить информацию. Есть только 2 требования:
  • Хранить не дольше, чем нужно для обработки.
  • Удалить или обезличить после использования.
Создавая инфраструктуру для хранения данных, компании придерживаются не только 152-ФЗ, но и приказов ФСБ и ФСТЭК. Последние более подробно регламентируют криптографическую и техническую составляющие ИСПДн.

Также отметим, что 152-ФЗ не предусматривает, какие документы клиент должен подписать, чтобы компания могла легально собирать, хранить и обрабатывать ПД. Обычно предприятия подготавливают:
  • Политику обработки и защиты ПД.
  • Согласие на обработку данных.
  • Специальные приказы для сотрудников, работающих с ПД.
  • Документ о неразглашении данных для работников.
Если оператор нарушит требования 152-ФЗ, то ему грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность.

Как происходит утечка персональных данных

Создавая ИСПДн, учитывайте не только требования законов, но и распространенные варианты утечек ПД. Это позволит сделать защиту надежнее, а также избежать штрафов и потери деловой репутации. Есть 3 способа утечек ПД:
  • По неосторожности. К примеру, сотрудник отправил информацию не на ту почту. От такого сложно защититься.
  • Халатность. К примеру, расследование IMY показало, что через URL в почтовых рассылках с рекламой страховки можно получить доступ ко всем данным компании. Это недосмотрели разработчики, которые не проверили ссылки. Теперь кто угодно может попасть в систему, а все уровни защиты до смены пароля бесполезны.
  • Умышленный слив сотрудником или партнером. К примеру, только за 2023 год власти оштрафовали компании и отдельных лиц на 3,7 млн рублей за выгрузку данных в интернет. Отметим, что умышленная кража ПД — уголовное преступление.
Как защитить персональные данные

По статистике, 70% утечек происходит по вине работников компаний, не связанных с IT. Поэтому важно проводить не только мероприятия по соблюдение информационной безопасности, но и обучение работников, которые даже не знают о существовании ИСПДн и существующих требованиях.

Как защитить ПД:
  • Регулярно проводите аудиты бизнес-процессов, в которых используются ПД. Не должно быть передачи сведений третьим лицам, если об этом не указано в договоре о соблюдении конфиденциальности.
  • Опубликуйте локальные акты и объясните их содержание сотрудникам. В документах закрепляют — какие ПД можно собирать, у кого, для чего, как хранить, кому передавать. Компании создают политику обработки ПД, модели угроз.
  • Дополните трудовой договор положением о работе с ПД. В нем указывают, какая информация оставаться конфиденциальной, а также какую ответственность несет человек за кражу ПД и разглашение.
  • Создайте подробные должностные инструкции. Компании прописывают, что обязан сделать специалист в рамках мероприятий для защиты ПД.
  • Внедрите системы контроля. Они помогут оперативно выявлять случаи утечек и нарушения инструкций.
Айтеко.Cloud соответствует 152-ФЗ и имеет лицензии, подтверждающие надежность и безопасность защиты данных: лицензия ФСТЭК, лицензия ФСБ, лицензия федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Также наша облачная платформа размещена в ЦОДе Tier III. Оборудование хранится в закрытых помещениях под постоянным наблюдением, а доступ к ним имеет небольшой перечень специалистов, что снижает риски внутренних утечек. А благодаря соблюдению всех необходимых мероприятий по обеспечению информационной безопасности мы предотвращаем атаки извне.

Чек-лист по требованиям закона №152-ФЗ

Отдельно стоит рассмотреть общие требования законодательства, связанного с ПД. Чтобы собирать, хранить и обрабатывать данные, вы должны:
  • Зарегистрироваться как оператор ПД в Роскомнадзоре.
  • Запрашивать разрешение на сбор и обработку ПД у клиентов.
  • Отвечать на сообщения клиентов и предоставлять им разрешенную информацию об имеющихся ПД.
  • Собирать и использовать данные ограниченное время для достижения конкретных целей.
  • Обеспечивать тайну и сохранность информации.
  • Уничтожать ПД по требованию клиента и при достижении поставленных целей.
Заключение

Персональные данные в интернете имеют ценность далеко не только для бизнеса. Злоумышленники регулярно взламывают информационные системы и крадут ПД.

В Айтеко.Cloud понимают, насколько высока угроза, и внедряют различные способы защиты — фильтры от DDos-атак, круглосуточный мониторинг подключений и т.п. При этом данные хранятся на серверах в изолированных помещения с постоянным видеонаблюдением.
Другие статьи
Все
Статья
Новость
12.07.2024
Айтеко.Cloud стала партнером «Киберпротекта» Компания Айтеко.Cloud получила партнерский статус отечественного разработчика ПО «Киберпротект». Сотрудничество открывает новые возможности по внедрению импортонезависимых ИТ-решений для защиты данных, резервного копирования и восстановления виртуальных, физических и облачных сред.
31.05.2024
Константин Лопаткин в рейтинге «Топ-100 ИТ-лидеров» Global CIO 2024
24.04.2024
Подходы к созданию облака от Айтеко.Cloud на CLOUD DAY
16.04.2024
Компания Айтеко.Cloud вошла в ТОП-10 лучших провайдеров IaaS Enterprise 2024 Интернет-портал CNews опубликовал рейтинг провайдеров IaaS Enterprise 2024, в котором собрал и оценил 24 поставщиков IaaS-решений. Компания Айтеко.Cloud также прошла оценку и, по мнению экспертов, заняла девятое место, получив 694 балла.
21.03.2024
Презентация Айтеко.Cloud на «Оптимизации цифровой инфраструктуры 2024» о новых подходах к созданию и развитию ИТ-инфраструктуры
Перейти в блог