Облачная инфраструктура
Публичное облако Облако 152-ФЗ Частное облако Гибридное облако Объектное хранилище S3
База данных как сервис Почтовый сервис из облака Облачное хранилище
Оборудование и услуги ЦОД
Аренда и продажа СХД Поставка оборудования Аренда места в ЦОД (Co-location) Защита от DDoS-атак
ИТ-консалтинг
Аудит инфраструктуры Проектирование инфраструктуры Миграция в облако Импортозамещение
Поставка ПО
Инфраструктурное ПО Бизнес ПО Решения для обеспечения информационной безопасности
О компании
О компании ЦОД Блог Партнеры Документы Контакты
sale@iteco.cloud +7-495-252-25-55
Поиск Личный кабинет
БлогВсе статьи
Статья
13.02.2024

Количество целевых атак и взломов увеличилось

Количество целевых атак и взломов на государственные и частные компании значительно увеличилось с 2022 года. Так, в 2023 году объем утечек ПД было в 2 раза больше, чем в 2022 году. В открытом доступе оказалось свыше 38 млн записей. Однако в действительности вопрос защиты персональных данных в интернете всегда стоял остро. Компании любого масштаба могут потерять прибыль, деловую репутацию и доверие клиентов из-за утечек ПД.

Затронем острую тему и расскажем, как защитить персональные данные в сети интернет, как эта проблема рассматривается в российском законодательстве.

Что такое ИСПДн

ИСПДн расшифровывается как информационная система персональных данных. В нее входят не только сами сведения клиентов, но и средства для работы с ними и меры для обеспечения безопасности. В современном российском законодательстве это понятие идет вместе с обозначением «Оператор персональных данных». Так в законах называют компании, которые собирают информацию о клиентах в сети и занимаются ее обработкой.

Подробнее разберем, что относится к ИСПДн:
  • Персональная информация. Законы охватывают все типы сведений — имена, фамилии, почтовые адреса, номера телефонов, место проживания, дата рождения и т.п. При этом компании обязаны защищать все типы данных. В зависимости от их ценности законодательство также определяет необходимые средства и меры безопасности.
  • Базы данных, в которых информация хранится. Она должна иметь защиту от проникновений извне через интернет.
  • Программы для обработки персональных данных в интернете. К ним относят CRM, нейросети рекомендательных сервисов, SMS-сервисы для отправки коротких сообщений и т.д.
  • Защитное ПО для обеспечения безопасности БД. Для защиты сведений используют межсетевые экраны, антивирусы, инструменты для мониторинга подключений и т.п.
Кратко о 152-ФЗ и персональных данных

ФЗ № 152-ФЗ «О персональных данных» — это основной документ, регулирующий работу с персональными данными. В этом законе сказано, что ПД — это любая информация, прямо или косвенно относящаяся к физическому лицу. Перечня данных, которые считаются ПД, нет, поэтому к ним принято относить любую клиентскую информацию — номера телефонов, имена, адреса и т.д.

Новый закон (ст. 22) предполагает, что компания, планирующая собирать ПД, должна зарегистрироваться в качестве оператора персональных данных. Для этого заполняют форму на сайте и отправляют ее. Роскомнадзор вносит предприятие в реестр в течение 15 дней. Когда это произойдет, компания может начать сбор ПД.

Закон не предписывает, как именно хранить информацию. Есть только 2 требования:
  • Хранить не дольше, чем нужно для обработки.
  • Удалить или обезличить после использования.
Создавая инфраструктуру для хранения данных, компании придерживаются не только 152-ФЗ, но и приказов ФСБ и ФСТЭК. Последние более подробно регламентируют криптографическую и техническую составляющие ИСПДн.

Также отметим, что 152-ФЗ не предусматривает, какие документы клиент должен подписать, чтобы компания могла легально собирать, хранить и обрабатывать ПД. Обычно предприятия подготавливают:
  • Политику обработки и защиты ПД.
  • Согласие на обработку данных.
  • Специальные приказы для сотрудников, работающих с ПД.
  • Документ о неразглашении данных для работников.
Если оператор нарушит требования 152-ФЗ, то ему грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность.

Как происходит утечка персональных данных

Создавая ИСПДн, учитывайте не только требования законов, но и распространенные варианты утечек ПД. Это позволит сделать защиту надежнее, а также избежать штрафов и потери деловой репутации. Есть 3 способа утечек ПД:
  • По неосторожности. К примеру, сотрудник отправил информацию не на ту почту. От такого сложно защититься.
  • Халатность. К примеру, расследование IMY показало, что через URL в почтовых рассылках с рекламой страховки можно получить доступ ко всем данным компании. Это недосмотрели разработчики, которые не проверили ссылки. Теперь кто угодно может попасть в систему, а все уровни защиты до смены пароля бесполезны.
  • Умышленный слив сотрудником или партнером. К примеру, только за 2023 год власти оштрафовали компании и отдельных лиц на 3,7 млн рублей за выгрузку данных в интернет. Отметим, что умышленная кража ПД — уголовное преступление.
Как защитить персональные данные

По статистике, 70% утечек происходит по вине работников компаний, не связанных с IT. Поэтому важно проводить не только мероприятия по соблюдение информационной безопасности, но и обучение работников, которые даже не знают о существовании ИСПДн и существующих требованиях.

Как защитить ПД:
  • Регулярно проводите аудиты бизнес-процессов, в которых используются ПД. Не должно быть передачи сведений третьим лицам, если об этом не указано в договоре о соблюдении конфиденциальности.
  • Опубликуйте локальные акты и объясните их содержание сотрудникам. В документах закрепляют — какие ПД можно собирать, у кого, для чего, как хранить, кому передавать. Компании создают политику обработки ПД, модели угроз.
  • Дополните трудовой договор положением о работе с ПД. В нем указывают, какая информация оставаться конфиденциальной, а также какую ответственность несет человек за кражу ПД и разглашение.
  • Создайте подробные должностные инструкции. Компании прописывают, что обязан сделать специалист в рамках мероприятий для защиты ПД.
  • Внедрите системы контроля. Они помогут оперативно выявлять случаи утечек и нарушения инструкций.
Айтеко.Cloud соответствует 152-ФЗ и имеет лицензии, подтверждающие надежность и безопасность защиты данных: лицензия ФСТЭК, лицензия ФСБ, лицензия федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Также наша облачная платформа размещена в ЦОДе Tier III. Оборудование хранится в закрытых помещениях под постоянным наблюдением, а доступ к ним имеет небольшой перечень специалистов, что снижает риски внутренних утечек. А благодаря соблюдению всех необходимых мероприятий по обеспечению информационной безопасности мы предотвращаем атаки извне.

Чек-лист по требованиям закона №152-ФЗ

Отдельно стоит рассмотреть общие требования законодательства, связанного с ПД. Чтобы собирать, хранить и обрабатывать данные, вы должны:
  • Зарегистрироваться как оператор ПД в Роскомнадзоре.
  • Запрашивать разрешение на сбор и обработку ПД у клиентов.
  • Отвечать на сообщения клиентов и предоставлять им разрешенную информацию об имеющихся ПД.
  • Собирать и использовать данные ограниченное время для достижения конкретных целей.
  • Обеспечивать тайну и сохранность информации.
  • Уничтожать ПД по требованию клиента и при достижении поставленных целей.
Заключение

Персональные данные в интернете имеют ценность далеко не только для бизнеса. Злоумышленники регулярно взламывают информационные системы и крадут ПД.

В Айтеко.Cloud понимают, насколько высока угроза, и внедряют различные способы защиты — фильтры от DDos-атак, круглосуточный мониторинг подключений и т.п. При этом данные хранятся на серверах в изолированных помещения с постоянным видеонаблюдением.
Другие статьи
Блог
Статья 17.01.2024
Облачные технологии без мифов: узнайте, как на самом деле все устроено!
Последнее десятилетие облачные цифровые технологии развиваются стремительными темпами. Из-за этого тезисы противников новых технологий сильно устарели и перешли в разряд мифов, не имеющих ничего общего с реальностью. В этой статье разберем распространенные мифы об облачных технологиях и расскажем, как дело обстоит на самом деле.
 Блог
Кейсы 28.11.2023
Решение Айтеко Cloud для компании из отрасли международной логистики
Ключевое преимущество «Айтеко Cloud» по мнению многих наших клиентов — это даже не передовые технологии, а фирменный индивидуальный подход. Мы решаем конкретную проблему и зачастую предлагаем уникальные нетиповые варианты выхода из ситуации. Именно поэтому крупная международная компания «ЕвроТрансЭкспедиция» среди всех доступных облачных платформ выбрала именно «Айтеко Cloud».
 Блог
Новость 20.10.2023
Айтеко Cloud на мероприятии "Инфраструктура цифровизации - 2023"
18 октября прошла конференция «Инфраструктура цифровизации — 2023. Фундамент надежного функционирования и адаптации к чрезвычайным изменениям», проведенная издателем «Открытые системы». Константин Лопаткин, генеральный директор Айтеко.Cloud, на конференции выступил с докладом, в котором были отражены концептуальные подходы к организации IT-инфраструктуры бизнеса и практические бизнес-преимущества перехода на облачные решения.
 Блог
Кейсы 04.10.2023
Айтеко Cloud развернули ИТ-инфраструктуру под медицинские исследования
«Айтеко Cloud» — интегратор, работающий сразу в трех направлениях: интеграция, облако, ЦОД. Наша флагманская услуга — облачная инфраструктура на импортонезависимой и полностью соответствующей российскому законодательству платформе. Она помогает принять, обработать и защитить огромные объемы данных, с которыми ваша компания раньше не сталкивалась. Быстро и без лишней бюрократии. Кейс Melsys — один из примеров, когда наш сервис стал выходом из сложной ситуации.
Блог
Новость 20.09.2023
Компания вошла в ТОП-10 рейтинга CNews Analytics «Крупнейшие поставщики IaaS 2022»
CNews Analytics представил рейтинг «Крупнейшие поставщики IaaS», подготовленный на основании данных о выручке компаний от IaaS за 2021 год.
Новости 36 - 40 из 67
 Начало | Пред. | 6 7 8 9 10 | След. | Конец
Перейти в блог