sale@iteco.cloud +7-495-252-25-55
Личный кабинет
Все статьи
Новости
13.02.2024

Количество целевых атак и взломов увеличилось

Количество целевых атак и взломов на государственные и частные компании значительно увеличилось с 2022 года. Так, в 2023 году объем утечек ПД было в 2 раза больше, чем в 2022 году. В открытом доступе оказалось свыше 38 млн записей. Однако в действительности вопрос защиты персональных данных в интернете всегда стоял остро. Компании любого масштаба могут потерять прибыль, деловую репутацию и доверие клиентов из-за утечек ПД.

Затронем острую тему и расскажем, как защитить персональные данные в сети интернет, как эта проблема рассматривается в российском законодательстве.

Что такое ИСПДн

ИСПДн расшифровывается как информационная система персональных данных. В нее входят не только сами сведения клиентов, но и средства для работы с ними и меры для обеспечения безопасности. В современном российском законодательстве это понятие идет вместе с обозначением «Оператор персональных данных». Так в законах называют компании, которые собирают информацию о клиентах в сети и занимаются ее обработкой.

Подробнее разберем, что относится к ИСПДн:
  • Персональная информация. Законы охватывают все типы сведений — имена, фамилии, почтовые адреса, номера телефонов, место проживания, дата рождения и т.п. При этом компании обязаны защищать все типы данных. В зависимости от их ценности законодательство также определяет необходимые средства и меры безопасности.
  • Базы данных, в которых информация хранится. Она должна иметь защиту от проникновений извне через интернет.
  • Программы для обработки персональных данных в интернете. К ним относят CRM, нейросети рекомендательных сервисов, SMS-сервисы для отправки коротких сообщений и т.д.
  • Защитное ПО для обеспечения безопасности БД. Для защиты сведений используют межсетевые экраны, антивирусы, инструменты для мониторинга подключений и т.п.
Кратко о 152-ФЗ и персональных данных

ФЗ № 152-ФЗ «О персональных данных» — это основной документ, регулирующий работу с персональными данными. В этом законе сказано, что ПД — это любая информация, прямо или косвенно относящаяся к физическому лицу. Перечня данных, которые считаются ПД, нет, поэтому к ним принято относить любую клиентскую информацию — номера телефонов, имена, адреса и т.д.

Новый закон (ст. 22) предполагает, что компания, планирующая собирать ПД, должна зарегистрироваться в качестве оператора персональных данных. Для этого заполняют форму на сайте и отправляют ее. Роскомнадзор вносит предприятие в реестр в течение 15 дней. Когда это произойдет, компания может начать сбор ПД.

Закон не предписывает, как именно хранить информацию. Есть только 2 требования:
  • Хранить не дольше, чем нужно для обработки.
  • Удалить или обезличить после использования.
Создавая инфраструктуру для хранения данных, компании придерживаются не только 152-ФЗ, но и приказов ФСБ и ФСТЭК. Последние более подробно регламентируют криптографическую и техническую составляющие ИСПДн.

Также отметим, что 152-ФЗ не предусматривает, какие документы клиент должен подписать, чтобы компания могла легально собирать, хранить и обрабатывать ПД. Обычно предприятия подготавливают:
  • Политику обработки и защиты ПД.
  • Согласие на обработку данных.
  • Специальные приказы для сотрудников, работающих с ПД.
  • Документ о неразглашении данных для работников.
Если оператор нарушит требования 152-ФЗ, то ему грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность.

Как происходит утечка персональных данных

Создавая ИСПДн, учитывайте не только требования законов, но и распространенные варианты утечек ПД. Это позволит сделать защиту надежнее, а также избежать штрафов и потери деловой репутации. Есть 3 способа утечек ПД:
  • По неосторожности. К примеру, сотрудник отправил информацию не на ту почту. От такого сложно защититься.
  • Халатность. К примеру, расследование IMY показало, что через URL в почтовых рассылках с рекламой страховки можно получить доступ ко всем данным компании. Это недосмотрели разработчики, которые не проверили ссылки. Теперь кто угодно может попасть в систему, а все уровни защиты до смены пароля бесполезны.
  • Умышленный слив сотрудником или партнером. К примеру, только за 2023 год власти оштрафовали компании и отдельных лиц на 3,7 млн рублей за выгрузку данных в интернет. Отметим, что умышленная кража ПД — уголовное преступление.
Как защитить персональные данные

По статистике, 70% утечек происходит по вине работников компаний, не связанных с IT. Поэтому важно проводить не только мероприятия по соблюдение информационной безопасности, но и обучение работников, которые даже не знают о существовании ИСПДн и существующих требованиях.

Как защитить ПД:
  • Регулярно проводите аудиты бизнес-процессов, в которых используются ПД. Не должно быть передачи сведений третьим лицам, если об этом не указано в договоре о соблюдении конфиденциальности.
  • Опубликуйте локальные акты и объясните их содержание сотрудникам. В документах закрепляют — какие ПД можно собирать, у кого, для чего, как хранить, кому передавать. Компании создают политику обработки ПД, модели угроз.
  • Дополните трудовой договор положением о работе с ПД. В нем указывают, какая информация оставаться конфиденциальной, а также какую ответственность несет человек за кражу ПД и разглашение.
  • Создайте подробные должностные инструкции. Компании прописывают, что обязан сделать специалист в рамках мероприятий для защиты ПД.
  • Внедрите системы контроля. Они помогут оперативно выявлять случаи утечек и нарушения инструкций.
Айтеко.Cloud соответствует 152-ФЗ и имеет лицензии, подтверждающие надежность и безопасность защиты данных: лицензия ФСТЭК, лицензия ФСБ, лицензия федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Также наша облачная платформа размещена в ЦОДе Tier III. Оборудование хранится в закрытых помещениях под постоянным наблюдением, а доступ к ним имеет небольшой перечень специалистов, что снижает риски внутренних утечек. А благодаря соблюдению всех необходимых мероприятий по обеспечению информационной безопасности мы предотвращаем атаки извне.

Чек-лист по требованиям закона №152-ФЗ

Отдельно стоит рассмотреть общие требования законодательства, связанного с ПД. Чтобы собирать, хранить и обрабатывать данные, вы должны:
  • Зарегистрироваться как оператор ПД в Роскомнадзоре.
  • Запрашивать разрешение на сбор и обработку ПД у клиентов.
  • Отвечать на сообщения клиентов и предоставлять им разрешенную информацию об имеющихся ПД.
  • Собирать и использовать данные ограниченное время для достижения конкретных целей.
  • Обеспечивать тайну и сохранность информации.
  • Уничтожать ПД по требованию клиента и при достижении поставленных целей.
Заключение

Персональные данные в интернете имеют ценность далеко не только для бизнеса. Злоумышленники регулярно взламывают информационные системы и крадут ПД.

В Айтеко.Cloud понимают, насколько высока угроза, и внедряют различные способы защиты — фильтры от DDos-атак, круглосуточный мониторинг подключений и т.п. При этом данные хранятся на серверах в изолированных помещения с постоянным видеонаблюдением.
Другие статьи
Новости 09.09.2024
Айтеко.Cloud и «Лаборатория Касперского» подписали соглашение о сотрудничестве Компания «Лаборатория Касперского» и российский интегратор Айтеко.Cloud заключили партнерское соглашение. Благодаря новому партнерству, портфель предложений Айтеко.Cloud в области информационной безопасности дополняется рядом решений по защите от киберугроз, включая все семейство защитных продуктов «Лаборатории Касперского».
Новости 04.09.2024
Портфель решений Айтеко.Cloud расширился продуктами экосистемы РЕД СОФТ
Новости 22.08.2024
Айтеко.Cloud внедрила файловый сервер компании ООО "Маммут Рус"
Новости 05.08.2024
Айтеко.Cloud и MIND Software заключили соглашение о партнерстве Облачный интегратор Айтеко.Cloud и отечественный разработчик ПО MIND Software подписали партнерское соглашение, направленное на  расширение возможностей по внедрению решений вендора. Данное соглашение – еще один шаг в развитии нового направления “Поставка ПО” Айтеко.Cloud.
Новости 31.07.2024
Айтеко.Cloud и МУЛЬТИФАКТОР подписали партнёрское соглашение
Перейти в блог