Количество целевых атак и взломов на государственные и частные компании значительно увеличилось с 2022 года. Так, в 2023 году объем утечек ПД было в 2 раза больше, чем в 2022 году. В открытом доступе оказалось свыше 38 млн записей. Однако в действительности вопрос защиты персональных данных в интернете всегда стоял остро. Компании любого масштаба могут потерять прибыль, деловую репутацию и доверие клиентов из-за утечек ПД.

Затронем острую тему и расскажем, как защитить персональные данные в сети интернет, как эта проблема рассматривается в российском законодательстве.

Что такое ИСПДн

ИСПДн расшифровывается как информационная система персональных данных. В нее входят не только сами сведения клиентов, но и средства для работы с ними и меры для обеспечения безопасности. В современном российском законодательстве это понятие идет вместе с обозначением «Оператор персональных данных». Так в законах называют компании, которые собирают информацию о клиентах в сети и занимаются ее обработкой.

Подробнее разберем, что относится к ИСПДн:

• Персональная информация. Законы охватывают все типы сведений — имена, фамилии, почтовые адреса, номера телефонов, место проживания, дата рождения и т.п. При этом компании обязаны защищать все типы данных. В зависимости от их ценности законодательство также определяет необходимые средства и меры безопасности.
• Базы данных, в которых информация хранится. Она должна иметь защиту от проникновений извне через интернет.
• Программы для обработки персональных данных в интернете. К ним относят CRM, нейросети рекомендательных сервисов, SMS-сервисы для отправки коротких сообщений и т.д.
• Защитное ПО для обеспечения безопасности БД. Для защиты сведений используют межсетевые экраны, антивирусы, инструменты для мониторинга подключений и т.п.

Кратко о 152-ФЗ и персональных данных

ФЗ № 152-ФЗ «О персональных данных» — это основной документ, регулирующий работу с персональными данными. В этом законе сказано, что ПД — это любая информация, прямо или косвенно относящаяся к физическому лицу. Перечня данных, которые считаются ПД, нет, поэтому к ним принято относить любую клиентскую информацию — номера телефонов, имена, адреса и т.д.

Новый закон (ст. 22) предполагает, что компания, планирующая собирать ПД, должна зарегистрироваться в качестве оператора персональных данных. Для этого заполняют форму на сайте и отправляют ее. Роскомнадзор вносит предприятие в реестр в течение 15 дней. Когда это произойдет, компания может начать сбор ПД.

Закон не предписывает, как именно хранить информацию. Есть только 2 требования:

• Хранить не дольше, чем нужно для обработки.
• Удалить или обезличить после использования.

Создавая инфраструктуру для хранения данных, компании придерживаются не только 152-ФЗ, но и приказов ФСБ и ФСТЭК. Последние более подробно регламентируют криптографическую и техническую составляющие ИСПДн.

Также отметим, что 152-ФЗ не предусматривает, какие документы клиент должен подписать, чтобы компания могла легально собирать, хранить и обрабатывать ПД. Обычно предприятия подготавливают:

• Политику обработки и защиты ПД.
• Согласие на обработку данных.
• Специальные приказы для сотрудников, работающих с ПД.
• Документ о неразглашении данных для работников.

Если оператор нарушит требования 152-ФЗ, то ему грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность.

Как происходит утечка персональных данных

Создавая ИСПДн, учитывайте не только требования законов, но и распространенные варианты утечек ПД. Это позволит сделать защиту надежнее, а также избежать штрафов и потери деловой репутации. Есть 3 способа утечек ПД:

• По неосторожности. К примеру, сотрудник отправил информацию не на ту почту. От такого сложно защититься.
• Халатность. К примеру, расследование IMY показало, что через URL в почтовых рассылках с рекламой страховки можно получить доступ ко всем данным компании. Это недосмотрели разработчики, которые не проверили ссылки. Теперь кто угодно может попасть в систему, а все уровни защиты до смены пароля бесполезны.
• Умышленный слив сотрудником или партнером. К примеру, только за 2023 год власти оштрафовали компании и отдельных лиц на 3,7 млн рублей за выгрузку данных в интернет. Отметим, что умышленная кража ПД — уголовное преступление.

Как защитить персональные данные

По статистике, 70% утечек происходит по вине работников компаний, не связанных с IT. Поэтому важно проводить не только мероприятия по соблюдение информационной безопасности, но и обучение работников, которые даже не знают о существовании ИСПДн и существующих требованиях.

Как защитить ПД:

• Регулярно проводите аудиты бизнес-процессов, в которых используются ПД. Не должно быть передачи сведений третьим лицам, если об этом не указано в договоре о соблюдении конфиденциальности.
• Опубликуйте локальные акты и объясните их содержание сотрудникам. В документах закрепляют — какие ПД можно собирать, у кого, для чего, как хранить, кому передавать. Компании создают политику обработки ПД, модели угроз.
• Дополните трудовой договор положением о работе с ПД. В нем указывают, какая информация оставаться конфиденциальной, а также какую ответственность несет человек за кражу ПД и разглашение.
• Создайте подробные должностные инструкции. Компании прописывают, что обязан сделать специалист в рамках мероприятий для защиты ПД.
• Внедрите системы контроля. Они помогут оперативно выявлять случаи утечек и нарушения инструкций.

Айтеко.Cloud соответствует 152-ФЗ и имеет лицензии, подтверждающие надежность и безопасность защиты данных: лицензия ФСТЭК, лицензия ФСБ, лицензия федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Также наша облачная платформа размещена в ЦОДе Tier III. Оборудование хранится в закрытых помещениях под постоянным наблюдением, а доступ к ним имеет небольшой перечень специалистов, что снижает риски внутренних утечек. А благодаря соблюдению всех необходимых мероприятий по обеспечению информационной безопасности мы предотвращаем атаки извне.

Чек-лист по требованиям закона №152-ФЗ

Отдельно стоит рассмотреть общие требования законодательства, связанного с ПД. Чтобы собирать, хранить и обрабатывать данные, вы должны:

• Зарегистрироваться как оператор ПД в Роскомнадзоре.
• Запрашивать разрешение на сбор и обработку ПД у клиентов.
• Отвечать на сообщения клиентов и предоставлять им разрешенную информацию об имеющихся ПД.
• Собирать и использовать данные ограниченное время для достижения конкретных целей.
• Обеспечивать тайну и сохранность информации.
• Уничтожать ПД по требованию клиента и при достижении поставленных целей.

Заключение

Персональные данные в интернете имеют ценность далеко не только для бизнеса. Злоумышленники регулярно взламывают информационные системы и крадут ПД.

В Айтеко.Cloud понимают, насколько высока угроза, и внедряют различные способы защиты — фильтры от DDos-атак, круглосуточный мониторинг подключений и т.п. При этом данные хранятся на серверах в изолированных помещения с постоянным видеонаблюдением.