Утечки персональных данных

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Информация играет важную роль для частной компании, государственной организации и в жизни обычных людей. Владение чужой информацией позволяет выигрывать в конкурентной борьбе и устранять соперников в бизнесе. В то же время развитие информационных технологий и расширение коммуникативных возможностей способствовали увеличению масштабов распространения данных. Для обычных людей это означает высокий риск утечки персональных данных, что может обернуться моральным и материальным ущербом от несанкционированного распространения личной информации.

Последствия утечки персональных данных

Компании становятся заложниками информационных технологий. Без программных механизмов невозможно вести и развивать бизнес, строить партнерские отношения и выполнять операции с персональными данными. Переход на электронную платформу требует уделять серьезное внимание вопросам информационной безопасности, чтобы избежать утечки персональных данных.

Вмешательство в функционирование информационной системы, будь то хищение, уничтожение или получение несанкционированного доступа, могут стать причиной серьезных убытков. Источники убытков – судебные иски, которые предъявляют пострадавшие от утечки персональных данных, обрабатываемых компанией, а также штрафы, которые надзорные органы вправе накладывать на операторов персональных данных.

Опасность утечки персональных данных возрастет во второй половине 2018 года, когда начнет действовать единая система идентификации личности. В общенациональную базу будут поступать биометрические данные каждого россиянина, который становится банковским клиентом. Опасность утечки биометрических данных чрезвычайно велика. В отличие от номеров платежных карт или паспортных данных биометрическую информацию изменить невозможно.

Наказание за утечку персональных данных

В России за утечку ПД предусмотрены штрафные санкции. Однако размеры штрафов незначительны, поэтому Министерство цифрового развития, связи и массовых коммуникаций попыталось продвинуть законопроект, который расширил бы границы административной ответственности за распространение ПД. В проекте вводились санкции еще по двум составам правонарушения:

  • хранение персональных данных российских граждан в базах за пределами России;
  • несоблюдение требований закона по обеспечению конфиденциальности персональных данных, незаконное раскрытие, предоставление третьим лицам, в том числе и утечки ПД.

Виды правонарушений, которые выделяет действующее законодательство, перечисляются в статье 13.11 КоАП РФ. Нормы статьи применяются к гражданам, должностными, физическим и юридическими лицами, которые выполняют функции операторов персональных данных. Нарушения, за которое предусмотрена ответственность:

  • обработка персональных данных без достаточных оснований или нецелевое использование данных;
  • обработка персональных данных без письменного согласия, оформленного строго по требованиям закона 152-ФЗ;
  • политика требований защиты и обработки ПД не опубликована;
  • субъект не получил информацию о составе персональных данных у оператора;
  • невыполнение законных требований субъекта по уточнению, блокировке, удалению данных;
  • несоблюдение требований безопасного хранения при ручной обработке ПД;
  • невыполнение обязанностей государственными или муниципальными органами по обезличиванию ПД или неправильное обезличивание.

Любое нарушение может привести к утечке персональных данных. Виновным в нарушении грозит административное взыскание – штраф от 1 тыс. до 75 тыс. рублей в зависимости от статуса виновного и типа нарушения.

Мероприятия по защите от утечки данных

Организации, которые работают с персональными данными, должны внедрять обязательные меры для защиты от модификации и разглашения в соответствии с требованиями закона 152-ФЗ. Выполнение норм законодательства отслеживает Роскомнадзор. Сотрудники регулятора уполномочены проверять любые компании по вопросам защиты персональных данных от утечки. В случае выявления недостаточной заботы о защите от утечек ПД служба вправе требовать от оператора в течение трех дней устранить все несоответствия или правильно уничтожить ПД. Чтобы избежать неприятностей, оператору, который выполняет любые действия с персональной информацией, необходимо классифицировать данные и обеспечить полноценную защиту.

Нормы подзаконных актов, изданных ФСТЭК и ФСБ, требуют от операторов выстроить современную эффективную защиту с помощью:

  • внедрения действенных антивирусных решений;
  • установки межсетевых экранов;
  • применения систем предотвращения несанкционированного доступа (вторжения);
  • выстраивания системы идентификации пользователей;
  • установления полноценного контроля доступа, шифрования, защиты ПД.

Возможные способы реализации мероприятий изложены в руководстве ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».

Норматив описывает основные методы создания защиты информационных систем. Кроме того, необходимо, чтобы оператор квалифицировал ПД, определил места безопасного хранения, смоделировал угрозы и составил портрет нарушителей, а затем выбрал способы и средства защиты от утечек, предотвращающие реализацию утечки в соответствии с подготовленным списком.

Документация по защите от утечек ПД в банковской сфере

Особенно важно защищать личную информацию в банковской сфере. Списка обязательной документации для регулирования процессов обработки ПД, актуального в России, законодательство не устанавливает. Поэтому многие финансовые учреждения не могут самостоятельно определить, какими обязательными локальными документами нужно руководствоваться, а какие – отнести к опциональным. Чаще всего защита ПД регулируется Политикой внутренней обработки на основании статьи 18.1 закона 152-ФЗ, Положением о защите ПД сотрудников организации и аналогичным Положением по защите ПД клиентов.

Организации вправе ориентироваться и еще на один документ – Рекомендации Роскомнадзора, в соответствии с которыми надо создать Политику со всеми необходимыми требованиями по защите ПД.

Для заемщиков и страхователей банку желательно разработать отдельный регламент, где описать основные спорные моменты, руководствуясь опытом работы и реальной судебной практикой.

Особенное внимание не лишним будет уделить внутренней документации, куда следует внести пункты, касающиеся обработки ПД. Дополнительно необходимо принять должностные инструкций для специалистов, которые осуществляют и отвечают за обработку ПД в учреждении.

Документальную базу желательно укрепить и с помощью других документов, включая:

1. Перечень информационных систем, в которых выполняется обработка ПД в финансовом учреждении.

2. Правила доступа в серверные помещения, где выполняется обработка данных, с перечнем сотрудников, у которых есть доступ в указанные помещения.

3. Модель возможных и реальных угроз для ПД во время обработки в информационных системах, где обрабатываются и хранятся данные. Модель угроз разрабатывать сложнее всего, однако наличия и выполнения документа требует 152-ФЗ (пункт 5 части 1 статьи 18.1).

В банке также должны быть изданы приказы и распоряжения, которыми назначаются специалисты, ответственные за процессы обработки ПД в соответствии с уставом.

Выводы

Анализ судебных решений на основании множественных несоответствий в работе компаний, занимающихся обработкой ПД, позволяет обобщить и рекомендовать шаги по совершенствованию процесса обработки, хранения и защиты данных.

1. Организовать полноценный аудит выполняемых в компании процессов по сбору, обработке, распространению, хранению, уничтожению ПД. Это позволит выявить возможные риски утечки. Аудит является действенной формой не только выявления «узких» мест, но и предоставляет возможность:

  • определить виды, разнести по категориям ПД, которые проходят обработку в компании;
  • установить и классифицировать субъектов, ПД которых обрабатываются;
  • разработать или усовершенствовать локальные нормативы, описывающие сбор и обработку ПД;
  • предусмотреть рычаги воздействия и мероприятия технического характера, обеспечивающие необходимые меры для соблюдения конфиденциальности информации и защиты от утечек ПД.

2. Модифицировать (внедрить) внутреннюю документацию по сбору и обработке ПД.

3. Пересмотреть типовые формы договоров, чтобы исключить пункты по обработке ПД.

4. Составить типовые формы согласия сотрудников, клиентов и партнеров, на обработку ПД.

5. Обеспечить сбор только необходимых для работы данных в соответствии с целями, чтобы избежать получения ненужной персональной информации.

6. Предусмотреть письменные формы соглашений с третьими лицами и партнерами, которым передается ПД.

Дополнительной мерой служит создание Политики, которая будет регулироваться взаимодействие с профильными государственными органами. Важно, чтобы создание документов не являлось самоцелью. Необходимо, чтобы заинтересованные и ответственные лица знакомились с каждым пунктом документов, а требования – неукоснительно выполнялись.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними