Новости
13.02.2024
Количество целевых атак и взломов увеличилось
Количество целевых атак и взломов на государственные и частные компании значительно увеличилось с 2022 года. Так, в 2023 году объем утечек ПД было в 2 раза больше, чем в 2022 году. В открытом доступе оказалось свыше 38 млн записей. Однако в действительности вопрос защиты персональных данных в интернете всегда стоял остро. Компании любого масштаба могут потерять прибыль, деловую репутацию и доверие клиентов из-за утечек ПД.Затронем острую тему и расскажем, как защитить персональные данные в сети интернет, как эта проблема рассматривается в российском законодательстве.
Что такое ИСПДн
ИСПДн расшифровывается как информационная система персональных данных. В нее входят не только сами сведения клиентов, но и средства для работы с ними и меры для обеспечения безопасности. В современном российском законодательстве это понятие идет вместе с обозначением «Оператор персональных данных». Так в законах называют компании, которые собирают информацию о клиентах в сети и занимаются ее обработкой.
Подробнее разберем, что относится к ИСПДн:
- Персональная информация. Законы охватывают все типы сведений — имена, фамилии, почтовые адреса, номера телефонов, место проживания, дата рождения и т.п. При этом компании обязаны защищать все типы данных. В зависимости от их ценности законодательство также определяет необходимые средства и меры безопасности.
- Базы данных, в которых информация хранится. Она должна иметь защиту от проникновений извне через интернет.
- Программы для обработки персональных данных в интернете. К ним относят CRM, нейросети рекомендательных сервисов, SMS-сервисы для отправки коротких сообщений и т.д.
- Защитное ПО для обеспечения безопасности БД. Для защиты сведений используют межсетевые экраны, антивирусы, инструменты для мониторинга подключений и т.п.
ФЗ № 152-ФЗ «О персональных данных» — это основной документ, регулирующий работу с персональными данными. В этом законе сказано, что ПД — это любая информация, прямо или косвенно относящаяся к физическому лицу. Перечня данных, которые считаются ПД, нет, поэтому к ним принято относить любую клиентскую информацию — номера телефонов, имена, адреса и т.д.
Новый закон (ст. 22) предполагает, что компания, планирующая собирать ПД, должна зарегистрироваться в качестве оператора персональных данных. Для этого заполняют форму на сайте и отправляют ее. Роскомнадзор вносит предприятие в реестр в течение 15 дней. Когда это произойдет, компания может начать сбор ПД.
Закон не предписывает, как именно хранить информацию. Есть только 2 требования:
- Хранить не дольше, чем нужно для обработки.
- Удалить или обезличить после использования.
Также отметим, что 152-ФЗ не предусматривает, какие документы клиент должен подписать, чтобы компания могла легально собирать, хранить и обрабатывать ПД. Обычно предприятия подготавливают:
- Политику обработки и защиты ПД.
- Согласие на обработку данных.
- Специальные приказы для сотрудников, работающих с ПД.
- Документ о неразглашении данных для работников.
Как происходит утечка персональных данных
Создавая ИСПДн, учитывайте не только требования законов, но и распространенные варианты утечек ПД. Это позволит сделать защиту надежнее, а также избежать штрафов и потери деловой репутации. Есть 3 способа утечек ПД:
- По неосторожности. К примеру, сотрудник отправил информацию не на ту почту. От такого сложно защититься.
- Халатность. К примеру, расследование IMY показало, что через URL в почтовых рассылках с рекламой страховки можно получить доступ ко всем данным компании. Это недосмотрели разработчики, которые не проверили ссылки. Теперь кто угодно может попасть в систему, а все уровни защиты до смены пароля бесполезны.
- Умышленный слив сотрудником или партнером. К примеру, только за 2023 год власти оштрафовали компании и отдельных лиц на 3,7 млн рублей за выгрузку данных в интернет. Отметим, что умышленная кража ПД — уголовное преступление.
По статистике, 70% утечек происходит по вине работников компаний, не связанных с IT. Поэтому важно проводить не только мероприятия по соблюдение информационной безопасности, но и обучение работников, которые даже не знают о существовании ИСПДн и существующих требованиях.
Как защитить ПД:
- Регулярно проводите аудиты бизнес-процессов, в которых используются ПД. Не должно быть передачи сведений третьим лицам, если об этом не указано в договоре о соблюдении конфиденциальности.
- Опубликуйте локальные акты и объясните их содержание сотрудникам. В документах закрепляют — какие ПД можно собирать, у кого, для чего, как хранить, кому передавать. Компании создают политику обработки ПД, модели угроз.
- Дополните трудовой договор положением о работе с ПД. В нем указывают, какая информация оставаться конфиденциальной, а также какую ответственность несет человек за кражу ПД и разглашение.
- Создайте подробные должностные инструкции. Компании прописывают, что обязан сделать специалист в рамках мероприятий для защиты ПД.
- Внедрите системы контроля. Они помогут оперативно выявлять случаи утечек и нарушения инструкций.
Чек-лист по требованиям закона №152-ФЗ
Отдельно стоит рассмотреть общие требования законодательства, связанного с ПД. Чтобы собирать, хранить и обрабатывать данные, вы должны:
- Зарегистрироваться как оператор ПД в Роскомнадзоре.
- Запрашивать разрешение на сбор и обработку ПД у клиентов.
- Отвечать на сообщения клиентов и предоставлять им разрешенную информацию об имеющихся ПД.
- Собирать и использовать данные ограниченное время для достижения конкретных целей.
- Обеспечивать тайну и сохранность информации.
- Уничтожать ПД по требованию клиента и при достижении поставленных целей.
Персональные данные в интернете имеют ценность далеко не только для бизнеса. Злоумышленники регулярно взламывают информационные системы и крадут ПД.
В Айтеко.Cloud понимают, насколько высока угроза, и внедряют различные способы защиты — фильтры от DDos-атак, круглосуточный мониторинг подключений и т.п. При этом данные хранятся на серверах в изолированных помещения с постоянным видеонаблюдением.